Allez au contenu, Allez à la navigation

Projet de loi pour une République numérique

6 avril 2016 : République numérique ( rapport - première lecture )

CHAPITRE II - ÉCONOMIE DU SAVOIR

Article 17 A (supprimé) (art. L. 312-9 du code de l'éducation) - Prévention et lutte contre les cyberviolences dans les formations à l'utilisation des outils et des ressources numériques dispensées dans les écoles et les établissements d'enseignement

L'examen de cet article a été délégué au fond à la commission de la culture, de l'éducation et de la communication par votre commission des lois.

Lors de sa réunion, la commission de la culture a adopté l'amendement COM-404 de suppression présenté par son rapporteur, Mme Colette Mélot.

En conséquence, votre commission a adopté cet amendement et supprimé l'article 17 A.

Article 17 (art. L. 533-4 [nouveau] du code de la recherche) - Libre accès aux publications scientifiques issues d'une activité de recherche financée par des fonds publics

L'examen de cet article a été délégué au fond à la commission de la culture, de l'éducation et de la communication par votre commission des lois.

Lors de sa réunion, la commission de la culture a adopté les amendements COM-405 et COM-406 de son rapporteur, Mme Colette Mélot et donné un avis favorable à l'amendement COM-205 présenté par Mme Dominique Gillot.

En conséquence, votre commission a adopté ces amendements et l'article 17 ainsi modifié.

Article 17 bis (art. L. 611-8 du code de l'éducation) - Formation diplômante via la mise à disposition de contenus d'enseignement en ligne

L'examen de cet article a été délégué au fond à la commission de la culture, de l'éducation et de la communication par votre commission des lois.

Lors de sa réunion, la commission de la culture a adopté l'amendement COM-407 présenté par son rapporteur, Mme Colette Mélot.

En conséquence, votre commission a adopté cet amendement et l'article 17 bis ainsi modifié.

Article 17 ter - Rapport au Parlement d'évaluation des effets de la loi sur le marché de l'édition scientifique et sur la circulation des idées et des données scientifiques françaises

L'examen de cet article a été délégué au fond à la commission de la culture, de l'éducation et de la communication par votre commission des lois.

Lors de sa réunion, la commission de la culture a proposé l'adoption de cet article.

En conséquence, votre commission a adopté l'article 17 ter sans modification.

Article 18 (art. 22, 25, 27 et 71 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Accès facilité aux données comprenant le numéro de sécurité sociale pour les travaux de recherche statistique, scientifique ou historique

Cet article vise à faciliter, à des fins de recherche, le recours à des traitements de données incluant le numéro de sécurité sociale.

1. Un accès au numéro de sécurité sociale très encadré en raison de la sensibilité de cette donnée

Le numéro d'inscription au répertoire des personnes physiques148(*) de l'Insee (NIR), plus communément dénommé numéro de sécurité sociale, est une donnée particulièrement sensible, parce qu'il s'agit d'une donnée très identifiante : chacun d'entre nous est associé à un NIR unique. Le procédé de construction de ce numéro renforce cette qualité identifiante, puisqu'il est formé à partir de plusieurs autres numéros qui, chacun, donnent une information sur la personne désignée (son sexe, l'année et le mois de sa naissance, ainsi que sa commune de naissance).

Ceci explique que le législateur ait soumis les fichiers susceptibles d'utiliser le NIR à un régime plus contraignant que le droit commun.

Les régimes d'autorisation et de déclaration des traitements de données

Le régime de droit commun est en effet celui de la déclaration du fichier auprès de la Cnil (section 1 du chapitre IV de la loi « Informatique et libertés » du 6 janvier 1978149(*)) : il est favorable à l'initiative des responsables de traitements de données, puisque le contrôle n'intervient qu'après coup. Il est applicable aux fichiers portant sur des données non sensibles.

À l'inverse, les données plus sensibles relèvent d'un régime spécial d'autorisation (section 2 du chapitre IV). En principe, il s'agit d'une autorisation délivrée par la Cnil (article 25). Par exception, l'autorisation peut être délivrée par le pouvoir exécutif, par le biais d'un arrêté ou d'un décret en Conseil d'État pris après avis motivé et publié de la Cnil (articles 26 et 27). Ces autorisations ministérielles concernent certains fichiers mis en oeuvre pour le compte de l'État. Le législateur a ainsi organisé un équilibre : ne pas soumettre la décision d'autoriser un fichier d'État à un veto de la Cnil, mais conditionner la délivrance de l'autorisation à une procédure particulièrement contraignante150(*).

Jusqu'à l'adoption de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, ce régime empruntait aux différents régimes spéciaux d'autorisation.

Les éléments déterminants étaient, d'une part, la qualité de la personne pour laquelle il est mis en oeuvre et, d'autre part, le type d'utilisation du NIR projeté : s'agit-il d'intégrer ce numéro d'identification au nombre des données traitées par le fichier mis en place ou bien s'agit-il seulement de prévoir une consultation par ledit fichier du répertoire national des personnes physique (RNIPP) ?

En principe l'utilisation du NIR ou la consultation du RNIPP doivent être autorisées par la Cnil (article 25, 6° de la loi « Informatique et libertés »).

Toutefois, si le fichier est mis en oeuvre pour le compte de l'État, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, l'autorisation doit être délivrée par décret en Conseil d'État pris après avis motivé et publié de la Cnil (article 27, I, 1° de la même loi). Cette procédure n'est toutefois valable que si le fichier inclut le NIR parmi les données à traiter. S'il ne s'agit que d'autoriser la consultation du RNIPP, un arrêté151(*) pris après avis motivé et publié de la Cnil suffit (article 27, II, 1° de la même loi). La même procédure d'arrêté est applicable si le traitement utilisant le NIR vise uniquement à mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration.

D'autres procédures juridiques ont été ajoutées à ce dispositif déjà complexe par la loi précitée de modernisation de notre système de santé.

En effet, il s'agissait de faciliter le recours au NIR dans trois domaines : la gestion des services sanitaires et médico-sociaux, la recherche médicale et la gestion des alertes sanitaires.

Le nouvel article L. 1111-8-1 du code de la santé publique prévoit donc que le NIR soit utilisé comme identifiant de santé par les services sanitaires et médico-sociaux et que les procédures particulières d'autorisation de la loi « Informatique et libertés » ne s'appliquent pas aux fichiers correspondants. Il autorise aussi expressément les autorités de veille sanitaire à recourir au NIR afin de répondre, en cas de situation d'urgence, à une alerte sanitaire152(*).

Le même article soumet l'utilisation du NIR à des fins de recherche dans le domaine de la santé au chapitre IX de la loi « Informatique et libertés », ce qui le fait, là encore, échapper au régime particulier des articles 25 et 27 de la même loi153(*). La Cnil se voit toutefois doter du pouvoir d'exiger que la gestion du NIR soit confiée à un organisme tiers, distinct du responsable de traitement, chargé de procéder aux appariements entre les bases de données154(*).

Le tableau suivant résume le régime d'autorisation applicable en matière d'utilisation du NIR dans un traitement informatique.

   

Type d'utilisation du NIR

   

Inclusion du NIR parmi les données traitées

Fichier prévoyant la consultation du RNIPP

Offre de téléservices aux usagers

Recherche médicale

Veille sanitaire ou gestion des services sanitaires et médico-sociaux

Fichier mis en oeuvre pour le compte :

- d'une personne privée

Autorisation par la Cnil (art. 25, 6°)

Autorisation par la Cnil (art. 25, 6°)

-

Autorisation par la Cnil après avis du comité d'expertise compétent (art. 54)

-

- de l'État ;
- d'une personne morale de droit public ;
- d'une personne morale de droit privé mettant en oeuvre un service public.

Décret en Conseil d'État pris après avis motivé et publié de la Cnil (art. 27)

Arrêté pris après avis motivé et publié de la Cnil (ou, le cas échéant, décision de l'organe délibérant ; art. 27)

Arrêté pris après avis motivé et publié de la Cnil (ou, le cas échéant, décision de l'organe délibérant ; art. 27)

Autorisation par la Cnil après avis du comité d'expertise compétent (art. 54)

Possibilité prévue par la loi (art. L. 1111-8-1 du code de la santé publique)

Source : commission des lois

2. Le texte proposé

Le présent article propose de réaliser, pour la recherche scientifique publique entendue au sens large, le même allègement de contraintes procédurales que la loi de modernisation de notre système de santé a prévu pour la recherche publique en matière de santé.

En effet, la formalité d'un décret ou d'un arrêté pris sur avis motivé de la Cnil apparaît trop contraignante : peu de centres de recherches ou d'université parviennent à obtenir ce sésame de la part de leur ministère de tutelle.

Le dispositif proposé distingue, d'une part, les recherches statistiques conduites par l'Insee155(*), et, d'autre part, les recherches scientifiques ou historiques conduites pour le compte de l'État, d'une autre personne morale de droit public (par exemple, les universités) ou d'une personne morale de droit privé gérant un service public.

En revanche, l'article 18 ne modifie pas le régime applicable à la recherche privée : celle-ci continuerait de relever, comme aujourd'hui, d'une simple autorisation par la Cnil.

2.1. Les recherches de statistiques publiques conduites par l'Insee

Par exception au régime juridique précédemment décrit, la seule formalité exigée de l'Insee pour mettre en place un traitement de données incluant le NIR ou requérant la consultation du RNIPP serait celle d'une déclaration auprès de la Cnil156(*). Il s'agit d'un dispositif très favorable à l'Insee, puisque ce régime est celui du droit commun des traitements de données. La confiance qu'inspire cet institut, régi par un cadre juridique rigoureux, justifie, sans doute, cet allègement des formalités.

Trois garanties supplémentaires seraient toutefois prévues.

En premier lieu, le traitement ne pourrait avoir pour finalité que l'établissement de statistiques publiques.

En deuxième lieu, il ne devrait comporter aucune des données interdites des articles 8 et 9 de la loi « Informatique et libertés ». Il s'agit, respectivement, d'une part, des données relatives aux origines raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses ou à l'appartenance syndicale des personnes, ou celles qui sont relatives à la santé ou à la vie sexuelle des intéressés, et, d'autre part, des données concernant les infractions, condamnations et mesures de sûreté relatives à une personne157(*).

Enfin, une précaution devrait être prise : le NIR devrait être crypté, afin de lui substituer un code statistique non signifiant. À défaut, il serait facile de réidentifier les personnes dont les données sont en cause, puisque le NIR fournirait à la fois leur sexe, leur date de naissance et leur commune de naissance. Les députés ont prévu, à l'initiative de leur rapporteur, M. Luc Belot, que ce code statistique non signifiant ne pourrait être utilisé qu'au sein de l'Insee. Ils ont aussi prévu, à l'initiative de Mme Hélène Geoffroy et plusieurs de ses collègues, que l'opération cryptographique devrait être renouvelée à une fréquence définie par décret en Conseil d'État (fréquence de quelques années). Cette dernière précaution, recommandée par l'agence nationale de sécurité des systèmes d'information (ANSSI), vise à éviter le risque que ce code non signifiant fasse office de nouveau NIR permanent.

Afin de faciliter l'intervention des tiers de confiance qui seront chargés de procéder aux opérations de cryptage, les députés ont aussi prévu, à l'initiative du rapporteur de la commission des lois de l'Assemblée nationale, que les traitements nécessaires à la réalisation du cryptage seraient soumis au même régime de déclaration auprès de la Cnil.

Le processus d'appariement sécurisé à partir de données identifiantes

La question de l'appariement sécurisé se pose lorsque l'on souhaite croiser des données différentes (par exemple, d'un côté, les diplômes obtenus et, de l'autre, le niveau rémunération du premier emploi occupé), issues de bases de données au sein desquelles elles sont associées à un type de données identifiantes (par exemple le NIR ou la date de naissance des personnes concernées).

Le dispositif proposé s'articule en trois phases.

Lors de la première, chacun des détenteurs des bases de données d'origine adresse à un tiers de confiance la partie de sa base de données limitée aux seules données identifiantes, afin qu'il associe à chaque donnée un code spécifique non signifiant.

Ensuite, chacun des détenteurs des bases de données reconstruit la sienne en associant, en lieu et place de la donnée identifiante, ce code spécifique non signifiant à chacune des données d'origine (c'est-à-dire, dans l'exemple précédent, les diplômes pour l'un et les niveaux de rémunération pour l'autre).

Enfin, les intéressés adressent à un autre tiers de confiance ces nouvelles bases de données afin qu'il apparie, grâce au code spécifique non signifiant, chacune des données de la première base avec celle qui lui correspond dans la seconde. Il en résulte une nouvelle base de données (qui associe diplôme et rémunération), dépourvue de toute donnée identifiante.

Le schéma suivant, tiré de l'étude d'impact du projet de loi récapitule ces différentes opérations :

2.2. Les recherches scientifiques ou historiques

Pour ce qui concerne les recherches scientifiques ou historiques nécessitant le recours au NIR, le régime juridique applicable serait celui, plus contraignant que le précédent, d'une autorisation délivrée par la Cnil. Ceci s'explique sans doute par le fait que les organismes susceptibles de bénéficier de cette autorisation ne présentent pas tous, indépendamment de leur qualité ou de leur autorité scientifiques, les mêmes garanties que l'Insee.

L'Assemblée nationale, à l'initiative du rapporteur de sa commission des lois, a sensiblement modifié la rédaction du Gouvernement, qui était calquée, s'agissant des garanties supplémentaires requises, sur celle du cas précédent.

Elle a tout d'abord supprimé l'interdiction que les traitements en cause portent sur l'une des données prohibées des articles 8 ou 9 de la loi « Informatique et libertés », justifiant cette suppression par le fait que la garantie de l'autorisation de la Cnil serait suffisante158(*).

Elle a ensuite précisé que l'opération de chiffrement du NIR et celle d'appariement des données devraient être opérées par deux tiers de confiance distincts : il s'agit d'éviter qu'une même personne soit destinataire, à la fois, des données identifiantes et des deux bases de données qui y sont associées.

En revanche, les députés n'ont pas étendu à ce type de recherche l'obligation, faite à l'Insee, que l'opération cryptographique soit renouvelée régulièrement.

3. La position de votre commission

Le but poursuivi par le présent article n'est pas contestable : faciliter les travaux de la recherche.

L'assouplissement des procédures applicables est aussi justifié par le fait, relevé par le Conseil d'État dans son rapport public pour 2014, que la situation actuelle est différente de celle des origines de la loi « Informatique et libertés » : le NIR constituait alors le principal moyen d'interconnexion des fichiers. Aujourd'hui, « même si le NIR reste un moyen de faciliter l'interconnexion en raison de sa fiabilité, il n'y est plus nécessaire », d'autres dispositifs pouvant y suppléer159(*).

Dans son avis au présent projet de loi, la Cnil a toutefois estimé que « tout assouplissement des formalités préalables en vigueur concernant le traitement du NIR à des fins de recherche doit répondre à deux conditions impératives. Il doit, d'une part, être accompagné de garanties fortes assurant la protection des données des personnes concernées et appropriées aux traitements en cause. D'autre part, il ne doit pas avoir pour effet de porter atteinte au cantonnement de l'utilisation du NIR comme identifiant de la seule sphère "médico-sociale" et doit au contraire participer au renforcement de l'étanchéité avec les autres secteurs d'activités »160(*).

L'équilibre proposé par le Gouvernement et l'Assemblée nationale apparaît à cet égard acceptable, comme la Cnil l'a elle-même reconnu dans son avis. Les garanties prévues sont solides et limitent les risques de mésusages.

En revanche, votre rapporteur constate que, loin de simplifier le régime d'utilisation du NIR, le présent article contribue à le rendre plus complexe encore : on dénombre dix procédures différentes, selon la finalité poursuivie ou la personne concernée (cf. infra, tableau 1).

En outre, plusieurs incohérences doivent être signalées.

Ainsi, sauf pour ce qui concerne l'Insee, la procédure imposée à la recherche publique sera plus rigoureuse que celle imposée à la recherche privée, qui ne présente pourtant pas le même niveau de garantie. Toutefois, les services de la Cnil ont indiqué à votre rapporteur qu'il s'agit, pour la recherche privée, du simple maintien du droit actuel. Or, aucune autorisation d'utilisation du NIR n'a été délivrée jusqu'à présent à ce titre. En outre, il est vraisemblable que la Cnil exigerait un même niveau de garantie, pour l'appariement des données par la NIR, que celui de la double cryptographie prévu pour la recherche publique.

En outre, il reviendra à la Cnil d'apprécier seule la pertinence ou l'utilité de la recherche envisagée, alors qu'en matière de recherche dans le domaine de la santé, elle est secondée dans cette tâche par un comité d'expertise. Les enjeux éthiques et l'extrême sensibilité des données médicales peuvent justifier cette différence de régime juridique. Mais doit-on, pour autant, ne pas prévoir plus de garanties pour les données sensibles que pour les données ordinaires ?

Ces observations plaideraient, comme sur d'autres sujets propres à la loi « Informatique et libertés », pour une refonte de ce dispositif. Toutefois, les conditions d'examen du présent texte ne permettent pas d'y procéder.

À l'initiative de son rapporteur, votre commission a étendu aux recherches scientifiques et historiques l'obligation d'un renouvellement régulier de l'opération de cryptage du NIR (amendement COM-263). Compte tenu de la fréquence de renouvellement envisagée, une telle obligation ne devrait concerner que les projets de recherche d'une durée supérieure à cinq ans, que ne sont pas les plus fréquents. Votre commission a par ailleurs adopté plusieurs amendements d'ordre rédactionnels (COM-261 et COM-262).

Votre commission a adopté l'article 18 ainsi modifié.

Article 18 bis A (nouveau) (art. 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Correction d'une erreur de coordination

Cet article additionnel, adopté par votre commission à l'initiative de notre collègue André Reichardt (amendement COM-3 rect.) vise à corriger la suppression involontaire, par l'Assemblée nationale, en nouvelle lecture de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, de la mention selon laquelle la collecte et le traitement des données sensibles (opinions politiques, appartenance syndicale, orientation sexuelle etc.) qui sont en principe interdits, peuvent être autorisés par la Cnil s'ils sont justifiés par l'intérêt public.

Votre commission a adopté l'article 18 bis A ainsi rédigé.

Article 18 bis - Exception au droit d'auteur permettant à la recherche publique d'explorer les copies ou reproduction numérique provenant de sources licites

L'examen de cet article a été délégué au fond à la commission de la culture, de l'éducation et de la communication par votre commission des lois.

Lors de sa réunion, la commission de la culture a adopté l'amendement COM-408 présenté par son rapporteur, Mme Colette Mélot.

En conséquence, votre commission a adopté cet amendement et l'article 18 bis ainsi modifié.

Article 18 ter (art. L. 122-5 du code de la propriété intellectuelle) - Exception au droit d'auteur permettant de reproduire ou de diffuser l'image d'une oeuvre protégée se trouvant dans l'espace public

L'examen de cet article a été délégué au fond à la commission de la culture, de l'éducation et de la communication par votre commission des lois.

Lors de sa réunion, la commission de la culture a adopté l'amendement COM-409 présenté par son rapporteur, Mme Colette Mélot.

En conséquence, votre commission a adopté cet amendement et l'article 18 ter ainsi modifié.

Article 18 quater (supprimé) - Promotion du bon usage des outils numériques et de l'Internet

L'examen de cet article a été délégué au fond à la commission de la culture, de l'éducation et de la communication par votre commission des lois.

Lors de sa réunion, la commission de la culture a adopté l'amendement COM-410 de suppression présenté par son rapporteur, Mme Colette Mélot.

En conséquence, votre commission a adopté cet amendement et supprimé l'article 18 quater.


* 148 L'acronyme associé à ce répertoire est « RNIPP ».

* 149 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* 150 Avant la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, les fichiers d'État devaient être prévu par une loi ou un acte réglementaire pris après avis motivé de la Cnil. Seul un décret pris sur avis conforme du Conseil d'État permettait de surmonter l'éventuel avis défavorable de la Cnil.

* 151 Si le fichier est mis en oeuvre pour le compte d'un établissement public ou d'une personne privée gérant un service public, l'arrêté est remplacé par une décision de l'organe délibérant chargé de l'organisation de l'établissement public ou dudit service public.

* 152 Les conditions d'utilisation du NIR dans ce cas devraient être fixées par un prochain décret en Conseil d'État pris après avis de la Cnil.

* 153 En vertu de ce chapitre IX, l'autorisation est délivrée par la Cnil, après avis du comité compétent de protection des personnes du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé.

* 154 L'intérêt de recourir au NIR est de faire correspondre, par appariement, les données de deux bases distinctes, lorsqu'au sein de chacune de ces bases, les données sont associées à une même personne, identifiable par son NIR.

* 155 Il s'agit d'une précision ajoutée à l'initiative du rapporteur de la commission des lois de l'Assemblée nationale. Le texte initial ne visait que les recherches de statistiques publiques. Les députés ont considéré que la procédure ne devrait concerner que l'institut public chargé de cette mission statistique.

* 156 La disposition serait par conséquent sortie de la section consacrée aux procédures d'autorisation pour être inscrite dans un nouveau paragraphe de l'article 22 de la loi informatique et libertés relative au régime de déclaration de droit commun.

* 157 L'article 8, II, 7° de la loi informatique et libertés permet toutefois à l'Insee de traiter ces données interdites, mais uniquement dans les conditions prévues à l'article 25, ce qui signifie, compte tenu du renvoi opéré par ce dernier article à l'article 27 de la même loi, qu'un décret en Conseil d'État serait, dans ce cas, nécessaire.

* 158 En effet, jusqu'à l'adoption de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, il est était possible, en vertu du IV de l'article 8, de collecter et de traiter des données sensibles à deux conditions cumulatives : qu'un intérêt public le justifie et que la Cnil l'autorise. Il était donc logique, dans ce cadre, de ne pas soumettre à une formalité plus contraignante le recours à ce type de données : il suffisait que la Cnil examine séparément, d'une part, la nécessité de recourir au NIR pour la recherche et, d'autre part, la conformité du projet de recherche à l'intérêt public. Une erreur de coordination intervenue à l'Assemblée nationale lors de l'examen de la loi précitée a toutefois eu pour conséquence d'abroger le renvoi, au IV de l'article 8, à la procédure d'autorisation de l'article 25. L'article additionnel 18 bis adopté par votre commission à l'initiative de nos collègues André Reichardt et Jean-Pierre Sueur corrige cette malfaçon (cf. infra).

* 159 Conseil d'État, Étude annuelle 2014 - Le numérique et les droits fondamentaux, La documentation française, septembre 2014, p. 297.

* 160 Cnil, délibération n° 2015-414 du 19 novembre 2015 portant avis sur un projet de loi pour une République numérique, p. 10.