Allez au contenu, Allez à la navigation

Projet de loi relatif à la protection des données personnelles

18 avril 2018 : Protection des données personnelles ( rapport - nouvelle lecture )

Rapport n° 441 (2017-2018) de Mme Sophie JOISSAINS, fait au nom de la commission des lois, déposé le 18 avril 2018

Disponible au format PDF (2,3 Moctets)


N° 441

SÉNAT

SESSION ORDINAIRE DE 2017-2018

Enregistré à la Présidence du Sénat le 18 avril 2018

RAPPORT

FAIT

au nom de la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale (1) sur le projet de loi, ADOPTÉ PAR L'ASSEMBLÉE NATIONALE EN NOUVELLE LECTURE, relatif à la protection des données personnelles,

Par Mme Sophie JOISSAINS,

Sénateur

(1) Cette commission est composée de : M. Philippe Bas, président ; MM. François Pillet, Jean-Pierre Sueur, François-Noël Buffet, Jacques Bigot, Mmes Catherine Di Folco, Sophie Joissains, M. Arnaud de Belenet, Mme Nathalie Delattre, MM. Pierre-Yves Collombat, Alain Marc, vice-présidents ; M. Christophe-André Frassa, Mme Laurence Harribey, MM. Loïc Hervé, André Reichardt, secrétaires ; Mme Esther Benbassa, MM. François Bonhomme, Philippe Bonnecarrère, Mmes Agnès Canayer, Maryse Carrère, Josiane Costes, MM. Mathieu Darnaud, Marc-Philippe Daubresse, Mme Jacky Deromedi, MM. Yves Détraigne, Jérôme Durain, Mme Jacqueline Eustache-Brinio, MM. Jean-Luc Fichet, Pierre Frogier, Mmes Françoise Gatel, Marie-Pierre de la Gontrie, M. François Grosdidier, Mme Muriel Jourda, MM. Patrick Kanner, Éric Kerrouche, Jean-Yves Leconte, Henri Leroy, Mme Brigitte Lherbier, MM. Didier Marie, Hervé Marseille, Jean Louis Masson, Mme Marie Mercier, MM. Thani Mohamed Soilihi, Alain Richard, Simon Sutour, Mmes Lana Tetuanui, Catherine Troendlé, M. Dany Wattebled.

Voir les numéros :

Première lecture : 490, 579, 592 et T.A. 84

Commission mixte paritaire : 855

Nouvelle lecture : 809, 860 et T.A. 110

Première lecture : 296, 344, 350, 351 et T.A. 76 (2017-2018)

Commission mixte paritaire : 407 et 408 (2017-2018)

Nouvelle lecture : 425 et 442 (2017-2018)

LES CONCLUSIONS DE LA COMMISSION DES LOIS

Réunie le 18 avril 2018, sous la présidence de M. Philippe Bas, président, la commission des lois a examiné le rapport de Mme Sophie Joissains, rapporteur, et établi son texte, en nouvelle lecture, sur le projet de loi n° 425 (2017-2018) relatif à la protection des données personnelles, adopté par l'Assemblée nationale en nouvelle lecture.

Ce texte vise à mettre la loi Informatique et libertés en conformité avec deux importants textes européens : le règlement général sur la protection des données, directement applicable à partir du 25 mai 2018, et une directive spécifique aux traitements mis en oeuvre en matière policière et judiciaire qui doit, elle, être transposée avant le 6 mai 2018.

En première lecture, le Sénat avait approuvé les grandes orientations du projet de loi initial et la plupart des apports de l'Assemblée nationale, sauf exceptions ponctuelles ; il avait aussi amélioré le texte, s'attachant, d'une part, à mieux accompagner les petites structures (TPE-PME et collectivités territoriales) dans la mise en oeuvre de leurs nouvelles obligations et, d'autre part, à renforcer la protection des droits et libertés de nos concitoyens.

Malgré deux rencontres préparatoires entre rapporteurs ayant permis, à l'issue de près de trois heures de discussions et au prix de concessions réciproques, de proposer un compromis global susceptible d'être accepté par le Sénat, le rapporteur s'est heurtée au refus de toute concession de la part des députés du groupe majoritaire à l'Assemblée nationale. La commission mixte paritaire réunie le vendredi 6 avril 2018 a logiquement constaté qu'elle ne pouvait élaborer un texte commun.

En dépit de quelques accords ponctuels sur des sujets techniques, l'Assemblée nationale a rétabli pour l'essentiel, lors de la nouvelle lecture, le texte qu'elle avait adopté en première lecture, sans tenir compte des apports du Sénat.

La commission des lois a adopté en nouvelle lecture un total de 40 amendements, dont 37 présentés par son rapporteur. Elle est ainsi revenue à la position exprimée par le Sénat en première lecture, tout en retenant les modifications apportées par l'Assemblée nationale qui lui ont paru acceptables.

Concernant les collectivités territoriales, face à l'incompréhensible refus des députés de prendre pleinement en compte leurs spécificités, la commission a rétabli l'affectation du produit des amendes prononcées par la CNIL au financement de mesures d'accompagnement et maintenu la dotation communale et intercommunale pour la protection des données à caractère personnel ; souhaitant réduire l'aléa financier pesant sur les collectivités territoriales, elle a également supprimé, comme pour l'État, la faculté pour la CNIL de leur imposer des amendes et astreintes administratives.

Concernant la saisine parlementaire de la CNIL pour avis sur certaines propositions de loi, la commission des lois a rétabli le principe d'une consultation facultative par les seuls présidents des assemblées parlementaires et en a élargi le champ à toute disposition d'une proposition de loi.

Concernant les traitements en matière pénale, refusant d'abaisser le niveau de protection de la vie privée de nos concitoyens, elle a rétabli plusieurs garanties essentielles supprimées par les députés (régime d'autorisation préalable par la CNIL des fichiers en matière pénale, fichiers en matière pénale mis en oeuvre par des personnes morales de droit privé, encadrement de l'open data des décisions de justice, droit à l'information sur les recours juridictionnels, encadrement du délai de réponse à l'exercice de certains droits, obligations de résultat et non de moyens) et assuré une stricte constitutionnalité du régime de traitement d'antécédents « TAJ ».

Concernant les décisions automatisées et les algorithmes, elle est revenue sur la suppression injustifiée de plusieurs garde-fous (limitation de leur usage, dans les cas où l'administration se repose entièrement sur eux, aux seules décisions individuelles qui n'appellent aucun pouvoir d'appréciation ; renforcement et application immédiate de la sanction de nullité des décisions en cas d'omission des informations obligatoires) et d'importantes garanties de transparence, notamment pour « Parcoursup ».

Concernant l'action de groupe, qu'elle approuve dans son principe, y compris pour la réparation des dommages, la commission a prévu par prudence un report de deux ans de l'entrée en vigueur de cette nouvelle procédure et l'agrément préalable obligatoire des associations, afin d'empêcher les éventuels abus et de laisser un peu de temps aux petites entreprises et aux collectivités territoriales avant de les exposer à un tel risque contentieux.

Concernant la préservation du libre choix dans l'accès aux services (comme les moteurs de recherche) sur les terminaux mobiles, d'une part, elle a limité les exceptions dont peuvent se prévaloir les responsables de traitement pour démontrer que les contrats conclus concernant des équipements ou services internet ne portent pas atteinte au consentement de l'utilisateur et, d'autre part, elle a rétabli la prohibition par les outils du droit de la concurrence de l'exploitation abusive d'une position dominante sur un marché des services de communication au public en ligne qui subordonnerait la vente d'un terminal à l'achat d'un service.

Elle a également rétabli son texte concernant plusieurs autres divergences ponctuelles d'inégale importance (objets connectés, charte de déontologie, âge du consentement autonome au traitement des données des mineurs, chiffrement de bout en bout...).

La commission des lois a adopté le projet de loi ainsi modifié.

EXPOSÉ GÉNÉRAL

Mesdames, Messieurs,

Le Sénat est saisi, en nouvelle lecture, du projet de loi relatif à la protection des données personnelles.

Ce texte vise à adapter la loi « Informatique et libertés »1(*) au « paquet européen de protection des données personnelles » qui se compose :

- du règlement général sur la protection des données (le « RGPD »)2(*), qui sera directement applicable à partir du 25 mai 2018, et entend favoriser l'émergence d'un modèle européen harmonisé et ambitieux de protection des données à caractère personnel, tout en favorisant la compétitivité des entreprises européennes sur la scène internationale ;

- et d'une directive relative aux traitements mis en oeuvre en matière policière et judiciaire3(*), qui doit être transposée avant le 6 mai 2018.

Tout en approuvant les grandes orientations du projet de loi initial et la plupart des apports de l'Assemblée nationale, sauf exceptions ponctuelles, le Sénat s'était attaché, en première lecture, d'une part à mieux accompagner les petites structures dans la mise en oeuvre de leurs nouvelles obligations, d'autre part à renforcer la protection des droits et libertés des citoyens.

À ce titre, le Sénat avait d'abord tenu à répondre aux attentes et aux vives inquiétudes de nos TPE-PME et de nos collectivités territoriales. Leurs représentants ayant tous confirmé en audition qu'elles ne seraient absolument pas prêtes pour l'entrée en vigueur du règlement général sur la protection des données (RGPD) le 25 mai, c'est en pensant à elles, et pour mieux les accompagner, que le Sénat a voulu, à l'initiative ou avec l'accord de votre rapporteur :

- dégager de nouveaux moyens financiers pour la mise en conformité avec les règles européennes, en « fléchant » le produit des amendes et astreintes prononcées par la Commission nationale de l'informatique et des libertés (CNIL) à leur intention et en créant une dotation communale et intercommunale pour la protection des données personnelles ;

- faciliter la mutualisation des services numériques entre collectivités ;

réduire l'aléa financier pesant sur ces dernières en supprimant la faculté pour la CNIL de leur imposer des amendes administratives et en reportant de deux ans l'entrée en vigueur de l'action de groupe en réparation en matière de données personnelles ;

- encourager la diffusion d'informations et l'édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités comme des TPE-PME.

Le Sénat avait également souhaité rééquilibrer certains éléments du dispositif pour renforcer la protection des droits et libertés des citoyens. Adoptant des propositions émanant de tous les groupes politiques et fidèle à son rôle traditionnel de chambre des libertés, le Sénat avait prévu :

- de rétablir l'obligation d'autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté, et de préciser les conditions d'extension de la liste des personnes autorisées à mettre en oeuvre ces traitements ;

- d'encourager le recours aux technologies de chiffrement de bout en bout des données personnelles pour assurer leur sécurité ;

- de conserver le droit général à la portabilité des données, personnelles comme non personnelles, pour permettre de faire véritablement jouer la concurrence entre services en ligne ;

- de s'assurer que les utilisateurs de terminaux électroniques aient le choix d'y installer des applications respectueuses de la vie privée ;

- d'encadrer plus strictement l'usage des algorithmes par l'administration pour prendre des décisions individuelles, et de renforcer les garanties de transparence en la matière, par exemple pour les inscriptions à l'université (« Parcoursup »).

Examiné selon la procédure accélérée, ce projet de loi n'a fait l'objet que d'une seule lecture par l'Assemblée nationale puis par le Sénat avant la réunion d'une commission mixte paritaire.

Malgré deux rencontres préparatoires entre rapporteurs ayant permis, à l'issue de près de trois heures de discussions, de proposer un compromis global susceptible d'être accepté par le Sénat, au prix de concessions réciproques, votre rapporteur s'est heurtée au refus de toute concession de la part des députés du groupe majoritaire à l'Assemblée nationale.

La commission mixte paritaire réunie le vendredi 6 avril 2018 a constaté qu'elle ne pouvait élaborer un texte commun.

En dépit de quelques accords ponctuels sur des sujets techniques, l'Assemblée nationale a rétabli pour l'essentiel, lors de la nouvelle lecture, le texte qu'elle avait adopté en première lecture, sans tenir compte des apports du Sénat.

I. QUELQUES ACCORDS PONCTUELS SUR DES SUJETS TECHNIQUES

A. PLUSIEURS DISPOSITIONS TECHNIQUES OU DE BON SENS VOTÉES CONFORMES PAR LE SÉNAT DÈS LA PREMIÈRE LECTURE

Dès l'issue de la première lecture, six articles avaient été adoptés dans les mêmes termes par les deux assemblées grâce à un vote conforme du Sénat.

L'article 3, relatif aux conditions de délibération de la formation restreinte de la CNIL chargée d'exercer son pouvoir de sanction, a pour objet de rehausser, au niveau législatif, certaines garanties d'impartialité exigées par la jurisprudence constitutionnelle.

L'article 8 fixe le champ d'application territoriale des règles françaises adaptant ou complétant le RGPD au titre des « marges de manoeuvre » laissées aux États membres, en privilégiant un critère de résidence.

L'article 10 rappelle, dans le champ d'application du RGPD, que les sous-traitants devront respecter les obligations imposées aux responsables de traitement.

L'article 13 bis prévoit une sensibilisation à la protection des données personnelles dans le cadre de l'Éducation nationale.

L'article 14 AA insère dans la loi « Informatique et libertés » un renvoi explicite aux conditions de recueil du consentement figurant désormais dans le RGPD.

L'article 15 permet de fixer, par un décret en Conseil d'État, la liste des traitements et des catégories de traitements autorisés à déroger à l'obligation de notifier certaines violations de leurs données personnelles aux personnes concernées, dans le cas où cette divulgation serait susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

B. LES MAIGRES CONCESSIONS DE L'ASSEMBLÉE NATIONALE AU SÉNAT EN NOUVELLE LECTURE

Malgré l'échec de la commission mixte paritaire, l'Assemblée nationale a adopté conformes, en nouvelle lecture, certaines dispositions introduites ou modifiées par le Sénat en première lecture.

L'article 1er bis qui rigidifiait à l'extrême la procédure de consultation de la CNIL par le Parlement a été supprimé comme le souhaitait le Sénat.

L'article 4 précise et complète certaines modalités d'exercice des pouvoirs de contrôle dont dispose la CNIL. Le Sénat avait tenu à conserver une garantie procédurale, consistant à prévoir que les agents de la CNIL agissant sous une identité d'emprunt ne puissent, à peine de nullité, inciter à commettre une infraction, et avait corrigé une omission, en prévoyant la possibilité pour des experts d'assister les membres et agents de la CNIL dans leurs contrôles, à la demande du président de cette autorité.

L'article 8 A, introduit par le Sénat, complète certaines définitions (notions de traitement et de fichier), et précise ainsi le champ d'application matérielle de la loi « Informatique et libertés » pour les mettre en cohérence avec le RGPD.

L'article 12, relatif aux traitements à des fins archivistiques, statistique ou de recherche scientifique ou historique, a vu sa portée étendue par le Sénat aux traitements autres que ceux mis en oeuvre par les services publics d'archives. Les dérogations à certains droits des personnes physiques sur leurs données, dont bénéficient les services publics d'archives, pourront ainsi être étendues en tout ou partie à ces autres traitements, par décret en Conseil d'État.

L'article 12 bis, introduit par le Sénat, étend la possibilité de mutualisation des services publics d'archives pour la conservation d'archives numériques des collectivités territoriales, qui ne concerne actuellement que les établissements publics de coopération intercommunale (EPCI) à fiscalité propre, aux autres catégories de groupements de collectivités territoriales.

L'article 17 crée une nouvelle voie de recours en cas de transferts internationaux de données personnelles et le Sénat lui a apporté plusieurs améliorations légistiques.

L'article 22, relatif à la mise à disposition du public en open data de la liste des traitements ayant fait l'objet de formalités préalables (le « fichier des fichiers »), a été complété dans un souci de sécurité juridique par une disposition transitoire concernant les traitements qui nécessitent l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques (NIR).

Les articles 21 et 23 bis (supprimé) procèdent à diverses coordinations.

II. LA PERSISTANCE D'IMPORTANTS POINTS DE DÉSACCORD SUR LESQUELS LE SÉNAT ENTEND À NOUVEAU TENTER DE REVENIR

A. SUR LA SAISINE PARLEMENTAIRE DE LA CNIL : UN ÉLARGISSEMENT EN TROMPE-L'oeIL DES AUTORITÉS SAISISSANTES AU PRIX D'UN RECUL SUR LE CHAMP DES TEXTES POUVANT ÊTRE SOUMIS À SON AVIS

L'Assemblée nationale n'a élargi qu'en apparence le champ des autorités pouvant saisir la CNIL pour avis sur une proposition de loi portant sur la protection des données personnelles, ajoutant les présidents de groupe et les présidents des commissions compétentes aux présidents des assemblées parlementaires.

Votre rapporteur estime en effet que la CNIL, comme toute autorité administrative indépendante, peut déjà répondre aux diverses sollicitations, voire donner spontanément son avis au Parlement sur un texte, sans qu'il soit besoin pour cela d'en formaliser la procédure, l'autorité elle-même ne souhaitant d'ailleurs pas une telle extension de ses missions.

Paradoxalement, l'Assemblée nationale a restreint l'objet de cette saisine, qui ne pourrait désormais plus porter que sur un texte entièrement consacré aux données personnelles et non sur « toute disposition d'une proposition de loi » relative à la protection de ces données, comme l'avait souhaité le Sénat, par parallélisme avec la consultation de la CNIL sur les projets de texte dont le Gouvernement est à l'origine (article 1er).

B. SUR LES COLLECTIVITÉS TERRITORIALES : UN INCOMPRÉHENSIBLE REFUS DE PRENDRE PLEINEMENT EN COMPTE LEURS SPÉCIFICITÉS

Alors que le Gouvernement s'était montré prêt à quelques concessions sur ce sujet, nos collègues députés ont refusé de voir quelles difficultés l'application du RGPD va susciter pour les collectivités territoriales et pourquoi leur situation mérite un traitement spécifique.

Pour la majorité de l'Assemblée nationale, une collectivité territoriale n'est qu'un responsable de traitement comme un autre - l'État excepté. Elle doit donc être placée sur le même pied qu'une entreprise. Pourtant, votre rapporteur ne se lassera pas de le rappeler, les collectivités territoriales sont soumises à des sujétions tout à fait particulières, qui sont le corollaire de leurs missions de service public et de leurs prérogatives de puissance publique. Si elles mettent en oeuvre des traitements de données personnelles, ce n'est pas pour en tirer profit, mais parce qu'elles y sont obligées par la loi ou pour rendre un meilleur service à nos concitoyens. Ces traitements sont nombreux et portent souvent sur des données sensibles : les communes, à elles seules, sont chargées de l'établissement et de la conservation des fichiers de l'état civil, des listes électorales, des fichiers cadastraux, des fichiers relatifs à la fiscalité locale, de fichiers sociaux, du fichier de recensement de la population, des fichiers des logements vacants, des associations subventionnées, des cantines scolaires, des fichiers issus des dispositifs de vidéosurveillance, etc.

Hélas, ces arguments n'ont pas suffi à nos collègues députés, qui ont donc :

· rétabli la possibilité pour la CNIL d'imposer aux collectivités territoriales et à leurs groupements des amendes administratives et des astreintes, dont l'État, lui, continuera d'être exonéré (article 6) ;

· supprimé l'affectation du produit des amendes prononcées par la CNIL au financement de mesures d'accompagnement destinées à aider les responsables de traitement à se mettre en conformité (article 6) ;

· supprimé la dotation communale et intercommunale pour la protection des données à caractère personnel que le Sénat avait proposé de créer (article 19 bis).

Les députés sont en revanche convenus de la nécessité de faciliter la mutualisation des moyens dont disposent les collectivités territoriales pour assumer les lourdes charges et obligations qui leur incombent, en tant que responsables de traitement. Sur ce point, ils ont adopté la position de compromis suggérée par votre rapporteur en vue de la commission mixte paritaire, en limitant les mesures proposées au champ des données personnelles, quand le Sénat aurait souhaité une disposition de portée plus générale (article 19 ter).

C. SUR LES TRAITEMENTS EN MATIÈRE PÉNALE : DES RECULS INQUIÉTANTS POUR LES DROITS ET LIBERTÉS DE NOS CONCITOYENS

Les traitements en matière pénale sont visés par plusieurs mesures du projet de loi : l'article 11 pour les traitements relevant du règlement, les articles 18 et 19 pour le régime général des traitements relevant de la directive et l'article 23 pour le traitement des antécédents judiciaires qui relève du champ d'application de la directive.

L'Assemblée nationale a refusé la quasi-totalité des garanties apportées par le Sénat en première lecture à ces traitements. Ainsi :

· les députés ont supprimé le régime d'autorisation préalable par la CNIL des fichiers en matière pénale, autres que ceux mis en oeuvre par l'État (articles 11, 18 et 19), tout en prévoyant la possibilité de mettre en oeuvre ces traitements « sous le contrôle de l'autorité publique », sans aucune autre garantie (article 11) ;

· les députés ont également supprimé toutes les garanties encadrant la mise en oeuvre des fichiers en matière pénale par des personnes morales de droit privé collaborant au service public de la justice et pour les fichiers « contentieux » mis en oeuvre par les personnes physiques ou morales de droit privé (article 11) ;

· ils ont supprimé l'encadrement, protecteur pour la vie privée, de l'open data des décisions de justice (article 11) ;

· ils ont réduit le droit à l'information des personnes concernant leur possibilité d'exercer un recours juridictionnel, supprimé l'encadrement du délai de réponse des responsables de traitement et rétabli les trois obligations de moyens transformées en obligations de résultat par le Sénat en première lecture (article 19) ;

· ils ont enfin supprimé toutes les garanties apportées par le Sénat afin d'assurer la constitutionnalité du régime de traitement d'antécédents judiciaires (article 23).

D. SUR LES ALGORITHMES : LA SUPPRESSION INJUSTIFIÉE DE PLUSIEURS GARDE-FOUS ET GARANTIES DE TRANSPARENCE

Alors que l'article 14 du projet de loi ouvre, pour la première fois, la voie à l'automatisation complète des décisions individuelles prises par l'administration, ce qui constitue une innovation dont il ne faut pas sous-estimer la portée, l'Assemblée nationale a supprimé, sans raison apparente, les indispensables garde-fous et les garanties de transparence que le Sénat avait appelés de ses voeux. Ainsi :

· comme en première lecture, les députés ont souhaité autoriser très largement les décisions administratives individuelles prises sur le seul fondement d'un traitement automatisé de données personnelles, au lieu de limiter cette faculté aux seules décisions qui n'appellent aucun pouvoir d'appréciation ;

· ils ont restreint aux seules décisions entièrement automatisées la sanction de nullité de plein droit attachée à l'omission des mentions obligatoires prévues par le code des relations entre le public et l'administration et, surtout, ils ont reporté de plus de deux ans l'entrée en vigueur de cette disposition ;

· ils ont rétabli la dérogation aux règles de transparence des algorithmes au bénéfice des établissements d'enseignement supérieur, dans le cadre de la nouvelle procédure d'admission en première année de licence, dite « Parcoursup ». Seule concession faite à la transparence (et au Sénat...), le comité éthique et scientifique de Parcoursup devrait rendre un rapport au Parlement sur le sujet.

E. SUR L'ACTION DE GROUPE : UN CERTAIN MANQUE DE PRUDENCE

Le Sénat, tout en approuvant dans son principe la création d'une action de groupe en réparation des dommages causés par la violation des règles de protection des données personnelles, afin de rendre plus effectifs les droits des citoyens et d'exercer un puissant effet dissuasif sur les responsables de traitement peu scrupuleux, avait cru nécessaire d'empêcher les éventuels abus et de laisser un peu de temps aux petites entreprises et aux collectivités territoriales avant de les exposer à un tel risque contentieux (article 16 A).

L'Assemblée nationale a maintenu l'extension du champ de cette action de groupe à la réparation des dommages causés par des manquements au RGPD et non seulement à la loi nationale, précision qui avait été introduite par le Sénat.

Elle a également accepté que la CNIL soit systématiquement informée de l'introduction d'une action de groupe par le demandeur.

En revanche, nos collègues députés ont supprimé les deux principaux garde-fous introduits par le Sénat, à savoir :

· l'agrément préalable obligatoire des associations ayant qualité pour introduire une action de groupe ;

· le report de deux ans de l'entrée en vigueur de cette nouvelle procédure (article 24). Les députés l'ont néanmoins limitée aux dommages dont le fait générateur serait postérieur au 24 mai 2018, conformément à la solution de compromis qui semblait pouvoir se dessiner en commission mixte paritaire.

F. SUR LA PRÉSERVATION DU LIBRE CHOIX DANS L'ACCÈS AUX SERVICES SUR LES TERMINAUX MOBILES : UNE PRISE EN COMPTE TROP PARTIELLE DES APPORTS DU SÉNAT

L'Assemblée nationale a maintenu la principale disposition introduite au Sénat visant à favoriser, pour le consommateur accédant à Internet, un choix de services et d'applications diversifiés sur leurs terminaux électroniques offrant les meilleures garanties de protection des données personnelles (article 17 bis) ; elle l'a toutefois complétée par un alinéa difficilement lisible et à la portée juridique encore incertaine.

En outre, elle a malheureusement supprimé les dispositions, pourtant mieux adaptées car relevant du droit de la concurrence et de la régulation des pratiques commerciales, par lesquelles le Sénat avait souhaité prohiber plus efficacement l'exploitation abusive d'une position dominante sur le marché des services de communication au public en ligne qui subordonnerait la vente d'un terminal à l'achat d'un service (article 17 ter).

G. PLUSIEURS AUTRES DIVERGENCES PONCTUELLES D'INÉGALE IMPORTANCE

Concernant les objets connectés, l'Assemblée nationale a supprimé la mention expresse de leur certification (facultative) par la CNIL qui devait permettre de s'assurer qu'ils respectent certaines normes en matière de vie privée et de sécurité (article 1er).

Elle a rétabli la publication obligatoire des ordres du jour de la formation plénière de la CNIL, disposition relevant pourtant manifestement du domaine réglementaire (article 2 bis) ; votre rapporteur regrette à cette occasion que l'Assemblée nationale ne procède à l'évidence pas, comme c'est le cas au Sénat, à un contrôle minimal de la recevabilité des amendements au regard de l'article 41 de la Constitution.

L'Assemblée nationale a supprimé l'obligation pour la CNIL d'élaborer une charte de déontologie des délégués à la protection des données de l'administration (article 6 bis).

L'incitation au chiffrement des données personnelles de bout en bout, comme moyen d'assurer leur sécurité, a été supprimée (article 10 bis) ; votre rapporteur regrette à cet égard la position fermée de l'Assemblée nationale sur un sujet aussi important que le recours aux outils cryptographiques pour protéger les libertés fondamentales de nos concitoyens, et elle rappelle les prises de position constantes de la CNIL et du Conseil national du numérique en ce sens.

Concernant les données de santé, l'Assemblée nationale est revenue sur l'interdiction pour les organismes d'assurance maladie complémentaire ayant accès aux données publiques de santé de les utiliser pour la détermination des choix thérapeutiques et médicaux et la sélection des risques (article 13).

Elle a rabaissé de 16 à 15 ans l'âge à partir duquel un mineur peut consentir seul au traitement de ses données concernant l'offre directe de services de la société de l'information et prévu un impraticable « double consentement », des parents et du mineur, en dessous de cet âge (article 14 A).

S'il faut se féliciter que la publicité des traitements de données scolaires ait été maintenue, c'est au prix d'un report à la rentrée scolaire 2018/2019, au lieu du mois de mai 2018 (article 14 bis A).

Le délai de l'habilitation consentie au Gouvernement pour légiférer par ordonnance afin de procéder à une réécriture de l'ensemble de la loi « Informatique et libertés » et, notamment, d'améliorer son intelligibilité a été porté à six mois au lieu de quatre (article 20).

Enfin, l'Assemblée nationale a de nouveau supprimé le droit à la récupération et à la portabilité des données non personnelles (article 20 bis).

III. LA POSITION DE VOTRE COMMISSION EN NOUVELLE LECTURE : RESTER FERME SUR LA DÉFENSE DES LIBERTÉS PUBLIQUES ET DES COLLECTIVITÉS TERRITORIALES

Regrettant la prise en compte très limitée par nos collègues députés du travail réalisé par le Sénat et ne pouvant accepter ces importants et inacceptables reculs, notamment pour les libertés publiques et les collectivités territoriales, votre commission a adopté en nouvelle lecture un total de 40 amendements, dont 37 présentés par son rapporteur.

Pour l'essentiel, ces modifications visent à réaffirmer la position exprimée par le Sénat en première lecture. Néanmoins, votre commission n'est pas revenue sur certaines modifications apportées par l'Assemblée nationale qui lui ont paru acceptables.

Concernant les collectivités territoriales, face à l'incompréhensible refus des députés de prendre pleinement en compte leurs spécificités, votre commission a rétabli l'affectation du produit des amendes prononcées par la CNIL au financement de mesures d'accompagnement (article 6) et maintenu la dotation communale et intercommunale pour la protection des données à caractère personnel (article 19 bis) ; souhaitant réduire l'aléa financier pesant sur les collectivités territoriales, elle a également supprimé, comme pour l'État, la faculté pour la CNIL de leur imposer des amendes et astreintes administratives (article 6).

Concernant la saisine parlementaire de la CNIL pour avis sur certaines propositions de loi, votre commission a rétabli le principe d'une consultation facultative par les seuls présidents des assemblées parlementaires et en a élargi le champ à toute disposition d'une proposition de loi (article 1er).

Concernant les traitements en matière pénale (articles 11, 18 et 19), refusant des reculs inquiétants pour les droits et libertés de nos concitoyens, elle a rétabli plusieurs garanties essentielles supprimées par les députés (régime d'autorisation préalable par la CNIL des fichiers en matière pénale ; encadrement des fichiers en matière pénale mis en oeuvre par des personnes morales de droit privé ; encadrement de l'open data des décisions de justice ; droit à l'information sur les recours juridictionnels ; encadrement du délai de réponse pour l'exercice de certains droits ; obligations de résultat et non de moyens) et assuré une stricte constitutionnalité du régime de traitement d'antécédents « TAJ » (article 23).

Concernant les décisions automatisées et les algorithmes (article 14), elle est revenue sur la suppression injustifiée de plusieurs garde-fous (limitation de leur usage, dans les cas où l'administration se repose entièrement sur eux, aux seules décisions individuelles qui n'appellent aucun pouvoir d'appréciation ; renforcement et application immédiate de la sanction de nullité des décisions en cas d'omission des informations obligatoires) et a renforcé à nouveau d'importantes garanties de transparence, notamment pour « Parcoursup ».

Concernant l'action de groupe (articles 16 A et 24), qu'elle approuve dans son principe, y compris pour la réparation des dommages, elle a prévu par prudence un report de deux ans de l'entrée en vigueur de cette nouvelle procédure et l'agrément préalable obligatoire des associations, afin d'empêcher les éventuels abus et pour laisser un peu de temps aux petites entreprises et aux collectivités territoriales avant de les exposer à un tel risque contentieux.

Concernant la préservation du libre choix dans l'accès aux services (comme les moteurs de recherche) sur les terminaux mobiles, d'une part, elle a limité les exceptions dont peuvent se prévaloir les responsables de traitement pour démontrer que les contrats conclus concernant des équipements ou services internet ne portent pas atteinte au consentement de l'utilisateur (article 17 bis) et, d'autre part, elle a rétabli la prohibition par les outils du droit de la concurrence de l'exploitation abusive d'une position dominante sur un marché des services de communication au public en ligne qui subordonnerait la vente d'un terminal à l'achat d'un service (article 17 ter).

Enfin, elle a également rétabli son texte sur plusieurs autres points de divergence d'inégale importance : objets connectés (article 1er), charte de déontologie des responsables de la protection des données (article 6 bis), âge du consentement autonome pour certains traitements de données concernant les mineurs (article 14 A), chiffrement de bout en bout (article 10 bis).

*

* *

Votre commission a adopté le projet de loi ainsi modifié.

EXAMEN DES ARTICLES

TITRE IER - DISPOSITIONS D'ADAPTATION COMMUNES AU RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 ET À LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016

Le titre Ier du projet de loi procède à la modification de certains articles de la loi « Informatique et libertés » pour les rendre compatibles avec le droit de l'Union européenne tel qu'il résulte de l'adoption du « paquet européen sur la protection des données personnelles ».

CHAPITRE IER - DISPOSITIONS RELATIVES À LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS

Article 1er (art. 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Missions et outils de la Commission nationale de l'informatique et des libertés

L'article 1er du projet de loi vise à adapter les missions et les outils de la Commission nationale de l'informatique et des libertés (CNIL) aux évolutions du cadre juridique européen. Il remplace son rôle de contrôle administratif préalable par un rôle d'accompagnement de la conformité (« compliance ») tout au long du cycle de vie des données et privilégie le recours aux outils du « droit souple ».

En première lecture, le Sénat avait apporté plusieurs améliorations d'importance au texte afin de :

- prévoir un accompagnement par la CNIL des collectivités territoriales et de leurs groupements (diffusion d'informations et édiction de normes de droit souple adaptées à leurs besoins et à leurs moyens) ;

- prévoir une prise en compte spécifique par la CNIL de la situation des personnes dépourvues de compétences numériques (« illectronisme » ou illettrisme numérique) ;

- mettre en place une certification facultative des objets connectés pour assurer au consommateur qu'ils respectent les normes en vigueur en matière de vie privée et de sécurité informatique ;

- rendre obligatoire l'établissement d'une liste pour certains types de traitements susceptibles de créer un risque élevé et devant faire l'objet d'une consultation préalable obligatoire de la CNIL ;

- réserver la possibilité d'une saisine parlementaire de la CNIL pour avis sur les propositions de loi aux seuls présidents des assemblées parlementaires, tout en étendant le champ de ces saisine à toute disposition d'une proposition de loi relative à la protection des données personnelles (et non seulement à toute proposition de loi relative à la protection des données personnelles).

Suivant la proposition de son rapporteur, votre commission a souhaité rétablir les trois derniers ajouts, qui n'ont pas été acceptés par l'Assemblée nationale en nouvelle lecture.

Concernant d'abord les objets connectés, elle a estimé que la certification facultative correspondait tout à fait à l'esprit du RGPD, qui confie un rôle de signal à cet outil de droit souple, et permettrait de rassurer le consommateur en orientant son choix vers des fabricants respectueux de leur vie privée. Alors que ces objets entrent peu à peu dans notre quotidien, dans nos maisons (thermostat connecté, éclairage connecté, mais aussi caméras connectées et baby-phones), dans nos pratiques de loisirs (drones, montres), voire dans le domaine de la santé, notre collègue Catherine Morin-Desailly, auteure d'une proposition de résolution sur ce sujet, a très justement rappelé en séance les défis de ces nouveaux produits pour la vie privée mais aussi pour la sécurité de nos concitoyens. Votre commission a en conséquence adopté l'amendement COM-5 de son rapporteur visant à doter la CNIL d'une mission de labellisation des objets connectés.

Votre commission a également adopté l'amendement COM-6 de son rapporteur pour prévoir l'établissement obligatoire par la CNIL d'une liste des traitements entrant dans le champ de la directive et susceptibles de créer un risque élevé pour les droits et les libertés des personnes concernées (ces traitements devant alors faire l'objet d'une consultation préalable obligatoire de l'autorité). Si l'article 28, paragraphe 3, de la directive4(*) se contente certes de ne prévoir que la possibilité d'établir une telle liste, le maintien d'un haut niveau de protection de la vie privée milite pour rendre cette liste obligatoire. En tout état de cause, il semble évident au vu les enjeux de libertés publiques que la CNIL voudra se saisir de cette possibilité et que la rédaction proposée, plus énergique, incitera plus sûrement l'autorité à établir une telle liste.

Enfin, votre commission a souhaité revenir à son texte concernant la consultation de la CNIL sur certaines propositions de loi.

D'une part, il lui a semblé qu'une saisine directe de la CNIL par d'autres personnalités que les présidents des assemblées romprait trop avec les mécanismes classiques qui régissent les relations institutionnelles entre le Parlement et les autorités administratives indépendantes (à cet égard, la CNIL elle-même s'est montrée inquiète du risque que poserait à ses capacités de réponse un trop grand élargissement des autorités habilitées à la saisir) ; votre rapporteur estime au demeurant que la CNIL, comme toute autorité administrative indépendante, peut déjà répondre aux diverses sollicitations, voire donner spontanément son avis au Parlement sur un texte, sans qu'il soit besoin pour cela d'en formaliser la procédure ; votre commission a donc adopté en ce sens l'amendement COM-7 de son rapporteur.

D'autre part, votre commission a également adopté l'amendement COM-8 de son rapporteur pour rétablir, par souplesse et par parallélisme avec les dispositions régissant la consultation de la CNIL sur les projets de loi, la possibilité d'une consultation sur certaines dispositions seulement d'une proposition de loi.

Votre commission a adopté l'article 1er ainsi modifié.

Article 2 (art. 13 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Compétences des personnalités qualifiées nommées par les présidents de l'Assemblée nationale et du Sénat

L'article 2 du projet de loi vise à uniformiser les compétences requises en matière de numérique ou de protection des libertés individuelles de certaines personnalités qualifiées nommées au sein du collège de la CNIL.

Après plusieurs hésitations, en première lecture, sur le caractère alternatif ou cumulatif qu'elle souhaitait donner à ces compétences, l'Assemblée nationale, en nouvelle lecture et sur proposition de sa rapporteure, a finalement adopté une disposition visant à rendre cumulatives les compétences exigées des cinq personnalités qualifiées membres de la CNIL.

Votre commission a adopté l'article 2 sans modification.

Article 2 bis (art. 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Délégation de certaines missions et publicité de l'ordre du jour des réunions plénières de la CNIL

L'article 2 bis du projet de loi a pour objet de permettre certaines souplesses organisationnelles (possibilité de délégations de certaines attributions entre organes de la CNIL et de délégation de signature).

Votre commission a adopté un amendement COM-9 de son rapporteur pour supprimer à nouveau la mention, rétablie en nouvelle lecture par l'Assemblée nationale à l'initiative de sa rapporteure, prévoyant de rendre public l'ordre du jour des réunions plénières.

Si louable soit-elle, cette exigence de transparence est manifestement de nature réglementaire. Elle aurait dès lors mieux sa place soit dans le décret relatif au fonctionnement de la CNIL, soit dans le règlement intérieur de l'autorité, et pourrait d'ailleurs être aisément satisfaite par un simple changement des pratiques.

Votre rapporteur regrette à cette occasion que l'Assemblée nationale ne procède à l'évidence pas, comme c'est le cas au Sénat, à un contrôle minimal de la recevabilité des amendements au regard de l'article 41 de la Constitution.

Votre commission a adopté l'article 2 bis ainsi modifié.

Article 5 (art. 49 et art. 49-1 à 49-5 [nouveaux] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Procédure de coopération entre la CNIL et d'autres autorités de contrôle de l'Union européenne

L'article 5 du projet de loi précise les modalités de coopération entre la CNIL et les autres autorités de l'Union européenne lors de procédures de contrôle, soit lorsque la CNIL est « chef de file » d'un contrôle associant d'autres autorités, soit en tant qu'« autorité concernée » associée aux contrôles menés par une autre autorité.

En première lecture, afin de permettre une meilleure « agilité » dans les modalités concrètes de fonctionnement de la CNIL, le Sénat avait souhaité lui donner certaines souplesses d'organisation (faculté de délégation de la formation plénière au bureau) pour participer avec la réactivité requise aux nouveaux mécanismes complexes de coopération entre autorités européennes.

En nouvelle lecture, l'Assemblée nationale a adopté cet article, sous réserve d'une précision.

Votre commission a adopté l'article 5 sans modification.

Article 6 (art. 45, 46, 47 et 48 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; art. 226-16 du code pénal) - Mesures correctrices et sanctions

L'article 6 du projet de loi réécrit les principaux articles de la loi « Informatique et libertés » relatifs aux pouvoirs de sanction de la CNIL et complète les sanctions déjà existantes afin de permettre à l'autorité de prendre l'ensemble des mesures correctrices prévues par le règlement (UE) 2016/679 ou par la directive (UE) 2016/680.

En première lecture, le Sénat avait d'abord entendu améliorer la pédagogie et la lisibilité de l'enchaînement des différentes procédures. Il avait également souhaité réduire l'aléa financier pesant sur les collectivités territoriales et leurs groupements en supprimant, comme pour l'État, la faculté pour la CNIL de leur imposer des amendes et astreintes administratives.

Sourde aux arguments du Sénat (au point d'en faire un point bloquant lors de la commission mixte paritaire), l'Assemblée nationale a rétabli, en nouvelle lecture, la possibilité de sanctions pécuniaires (s'élevant jusqu'à 20 millions d'euros) et d'astreintes (100 000 euros par jour) à l'encontre des collectivités territoriales et de leurs groupements.

Votre commission a adopté un amendement COM-10 de son rapporteur rétablissant le texte du Sénat sur ce point essentiel à ses yeux.

Votre rapporteur insiste sur le fait qu'il ne s'agit en rien d'exempter les collectivités territoriales et leurs groupements du respect du RGPD. Toutes les obligations du règlement leur seront applicables le 25 mai 2018, et tous les droits reconnus aux particuliers concernés par des traitements de données pourront naturellement s'exercer auprès d'eux.

La CNIL conserve naturellement à leur encontre toute la panoplie de ses mesures correctrices, dont l'inobservation peut constituer une infraction pénale. Les collectivités territoriales et leurs groupements demeurent aussi évidemment soumis au respect du principe de légalité, de sorte que tout manquement aux règles du RGPD ou de la loi « Informatique et libertés » peut être annulé par le juge et engager leur responsabilité.

Il semble indispensable à votre rapporteur de reconnaître pleinement la spécificité des collectivités territoriales, qui :

- à la différence des acteurs privés, sont responsables de nombreux traitement sur lesquels elles n'ont aucune prise, car ils découlent d'obligations légales ou de compétences transférées (fichier d'état civil, fichier des cantines scolaires, fichiers d'aide sociale, listes électorales, fiscalité locale, cadastre...) ;

- au même titre que l'État, exonéré d'amendes et d'astreinte par le texte, possèdent des prérogatives de puissance publique et exercent les missions de service public dont elles sont comme lui investies ;

- et disposent de budgets alimentés par le contribuable et souvent modestes pour la grande majorité d'entre elles (de sorte qu'en cas d'amende ou d'astreinte, c'est le public qui taxe le public et l'État qui ponctionne le contribuable local).

Votre rapporteur souligne enfin qu'une telle possibilité est expressément prévue par le RGPD dont l'article 83, paragraphe 7, dispose que « chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire ». Cette mesure de bon sens, unanimement adoptée au Sénat, a été soutenue par toutes les grandes associations d'élus et le Gouvernement lui-même n'a pas souhaité revenir sur cette avancée en séance.

Enfin, comme en première lecture, votre commission a adopté un amendement COM-11 de son rapporteur prévoyant que le produit des sanctions pécuniaires et des astreintes prononcées par la CNIL serve à financer des actions destinées aux responsables de traitement publics et privés, afin de les aider à se conformer à la nouvelle réglementation. Il s'agit toujours de poser un principe vertueux selon lequel « l'argent de la protection des données va à la protection des données ».

Votre commission a adopté l'article 6 ainsi modifié.

Article 6 bis - Charte de déontologie pour les délégués à la protection des données des administrations publiques

Introduit en première lecture en séance publique au Sénat, à l'initiative de notre collègue Alain Marc (groupe Les Indépendants - République et Territoires), l'article 6 bis du projet de loi prévoyait que le président de la CNIL établisse, après avis de ses membres, une charte énonçant les principes déontologiques et les bonnes pratiques propres a` l'exercice des fonctions de délégué à la protection des données dans les administrations publiques.

Il a été supprimé par l'Assemblée nationale en nouvelle lecture à l'initiative de sa rapporteure, au motif que la CNIL pourrait déjà établir des codes de conduite ou des guides de bonnes pratiques reprenant les orientations définies par le G29.

L'utilité des dispositions adoptées par le Sénat consistant précisément à prévoir que l'édiction d'une telle charte soit obligatoire pour la CNIL, et non facultative, votre commission a adopté un amendement COM-12 de son rapporteur tendant à les rétablir, au bénéfice de quelques ajustements de nature rédactionnelle.

Votre commission a rétabli l'article 6 bis ainsi rédigé.

CHAPITRE II - DISPOSITIONS RELATIVES À CERTAINES CATÉGORIES DE DONNÉES

Article 7 (art. 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Traitement des données personnelles dites « sensibles »

L'article 7 du projet de loi harmonise les dispositions nationales encadrant le traitement des données personnelles dites « sensibles » avec celles du RGPD et de la directive : il élargit le champ de ces données et complète par ailleurs les cas dans lesquels de telles données peuvent être exceptionnellement traitées.

En première lecture, l'Assemblée nationale avait complété la liste des exceptions au principe d'interdiction des traitements de données sensibles par la possibilité de réutiliser des données de cette nature dans le cadre de la mise à disposition, en open data, des décisions de justice (à la condition que cette réutilisation n'ait ni pour objet, ni pour effet de permettre la ré-identification des personnes concernées).

Le Sénat avait adopté, quant à lui, deux dispositions visant à :

- étendre la possibilité pour les employeurs ou les administrations de recourir à des traitements de données biométriques concernant leurs stagiaires et leurs prestataires, lorsque ces traitements sont strictement nécessaires au contrôle de l'accès aux lieux de travail et à leur activité ;

- compléter la liste des exceptions au principe d'interdiction des traitements de données sensibles aux traitements nécessaires à la recherche publique, à la condition qu'ils soient conformes au règlement européen.

En nouvelle lecture, l'Assemblée nationale a adopté cet article sous réserve d'une simple modification rédactionnelle.

Votre commission a adopté l'article 7 sans modification.

TITRE II - MARGES DE MANoeUVRE PERMISES PAR LE RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE

Le titre II du projet de loi concerne les « marges de manoeuvre » permises par le RGPD.

Le RGPD prévoit en effet plus d'une cinquantaine de ces « marges de manoeuvre » qui permettent à chaque État membre de préciser certaines dispositions, de ménager des dérogations ou au contraire d'accorder plus de garanties que ce que prévoit le droit européen.

CHAPITRE IER - CHAMP D'APPLICATION TERRITORIAL DES DISPOSITIONS COMPLÉTANT LE RÈGLEMENT (UE) 2016/679

CHAPITRE II - DISPOSITIONS RELATIVES À LA SIMPLIFICATION DES FORMALITÉS PRÉALABLES À LA MISE EN oeUVRE DES TRAITEMENTS

Article 9 (art. 22, 23, 24, 25 et 27 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; art. 226-16-1-A du code pénal) - Suppression des régimes de formalités administratives préalables, sauf exceptions

L'article 9 du projet de loi supprime les principaux régimes de formalités préalables obligatoires (déclaration du traitement, autorisation par la CNIL ou autorisation par décret en Conseil d'État après avis de la CNIL), remplacés par le mécanisme directement prévu par le RGPD en cas de risque pour la vie privée (analyse d'impact, consultation de l'autorité de régulation, possibilité d'objections et de sanctions).

Assemblée national et Sénat n'y ont apporté successivement que des modifications de nature rédactionnelle.

Votre commission a adopté l'article 9 sans modification.

CHAPITRE III - OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENT ET À LEURS SOUS-TRAITANTS

Article 10 bis (art. 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Incitation au chiffrement pour remplir l'obligation de sécurité à laquelle sont tenus les responsables de traitement de données personnelles

L'article 10 bis est issu de l'adoption, en séance publique au Sénat, d'un amendement de notre collègue Marie-Thérèse Brugière (Les Républicains). Il tend à préciser la portée de l'obligation de sécurité à laquelle sont soumis les responsables de traitement (en application de l'article 34 de la loi « Informatique et libertés » et de l'article 32 du RGPD5(*)) en incitant « chaque fois que cela est possible » au chiffrement « de bout en bout » des données personnelles.

En nouvelle lecture, la rapporteure de l'Assemblée nationale a donné un avis favorable à l'adoption d'un amendement du Gouvernement qui a supprimé cet article.

Votre rapporteur regrette la position fermée de l'Assemblée nationale sur un sujet aussi important que le recours aux outils cryptographiques pour protéger les libertés fondamentales de nos concitoyens.

Elle rappelle la position de la CNIL sur ce sujet, fermement exprimée lors de la remise de son précédent rapport annuel, et aux termes de laquelle : « Dans un contexte de numérisation croissante de nos sociétés et d'accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité. Il contribue aussi à la robustesse de notre économie numérique et de ses particules élémentaires que sont les données à caractère personnel, dont la protection est garantie par l'article 8 de la Charte des droits fondamentaux de l'Union européenne ».

Le Conseil national du numérique, dans son avis de septembre 2017 (« prédictions, chiffrement et libertés »), a pris une position similaire, rappelant que « le chiffrement est un outil vital pour la sécurité en ligne ; en conséquence, il doit être diffusé massivement auprès des citoyens, des acteurs économiques et des administrations ».

Votre rapporteur a dès lors proposé à votre commission, qui l'a adopté, un amendement COM-13 destiné à rétablir cet article dans la rédaction du Sénat, au bénéfice de certaines précisions rédactionnelles.

Votre commission a rétabli l'article 10 bis ainsi rédigé.

CHAPITRE IV - DISPOSITIONS RELATIVES À CERTAINES CATÉGORIES PARTICULIÈRES DE TRAITEMENT

Article 11 (art. 9 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Traitements de données relatives aux condamnations pénales, aux infractions ou mesures de sûreté

L'article 11 du projet de loi tend à élargir la liste des personnes autorisées à mettre en oeuvre des traitements de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes qui ne relèvent pas du champ d'application de la directive (UE) 2016/680. Il vise ainsi à adapter le droit interne à l'article 10 du RGPD.

· Les garanties apportées par le Sénat en première lecture pour la protection des droits des personnes

Considérant que les données relatives aux infractions pénales sont particulièrement sensibles et peuvent notamment engendrer de graves conséquences si elles sont révélées à autrui, votre commission, à l'initiative de son rapporteur, avait veillé en première lecture à apporter plusieurs garanties indispensables à la mise en oeuvre de tels traitements de données :

- le maintien6(*) du régime d'autorisation préalable par la CNIL pour les traitements de données relatives aux condamnations pénales, aux infractions et aux mesures de sûreté connexes ;

- la suppression de la possibilité de mettre en oeuvre de tels traitements « sous le contrôle de l'autorité publique », et non pas par les autorités publiques, sans qu'aucune précision législative n'apparaisse quant à la qualité des personnes autorisées à mettre en oeuvre de tels traitement, la nature de ce contrôle ou les finalités autorisées pour ces traitements ;

l'encadrement de la faculté pour les personnes morales de droit privé collaborant au service public de la justice de mettre en oeuvre de tels traitements, dans la seule mesure « strictement nécessaire à l'exercice des missions qui leur sont confiées par la loi » ;

l'inscription de garanties quant à la durée de conservation des données, les catégories de personnes autorisées à en être destinataires et les conditions de cette transmission pour les fichiers portant sur des condamnations pénales, des infractions ou des mesures de sûreté pouvant être mis en oeuvre par toute personne, aux fins de préparer, « d'exercer et de suivre une action en justice », et de « faire exécuter la décision rendue » (fichiers précontentieux ou contentieux) ;

l'encadrement de l'open data des décisions de justice afin de prévenir « tout risque de réidentification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d'atteinte à la liberté d'appréciation des magistrats et à l'impartialité des juridictions ».

Toutes ces garanties pour les libertés individuelles avaient été retenues par le Sénat en séance publique.

· Face au refus par l'Assemblée nationale des garanties instaurées par le Sénat, la volonté de votre commission de rétablir, pour les fichiers en matière pénale, un encadrement respectueux des exigences constitutionnelles

En nouvelle lecture, à l'initiative de sa rapporteure ou du Gouvernement, l'Assemblée nationale est revenue sur la quasi-totalité des garanties apportées par le Sénat.

Votre rapporteur ne partage pas la volonté de l'Assemblée nationale et du Gouvernement d'étendre déraisonnablement la liste des personnes autorisées à mettre en oeuvre de tels fichiers.

À son initiative, votre commission a rétabli plusieurs garanties protectrices des libertés, permettant d'assurer la constitutionnalité des dispositions proposées.

En premier lieu, elle a rétabli le régime d'autorisation préalable par la CNIL des fichiers en matière pénale, autres que ceux mis en oeuvre par l'État (amendement COM-17 de son rapporteur). En l'absence d'un régime d'autorisation préalable, l'encadrement législatif de ces fichiers serait insuffisant et l'atteinte portée au droit au respect de la vie privée, garanti par l'article 2 de la Déclaration des droits de l'homme et du citoyen, disproportionnée.

Comme en première lecture, votre commission s'est opposée à la seule possibilité de mettre en oeuvre de tels traitements « sous le contrôle de l'autorité publique », sans autre garantie. Selon votre rapporteur, le Gouvernement propose une interprétation erronée de l'article 10 du RGPD en juxtaposant la possibilité d'une mise en oeuvre « sous le contrôle de l'autorité publique », sans autre précision législative, et les personnes physiques ou morales, de droit public ou privé, limitativement énumérées à l'article 9 de la loi n° 78-17 du 6 janvier 1978. L'article 10 du RGPD autorise les traitements étroitement mis en oeuvre par l'autorité publique et exige, pour les autres catégories de personnes morales, de prévoir des garanties appropriées pour les droits et libertés des personnes concernées. Telle est l'interprétation retenue par le Royaume-Uni, par exemple7(*). En guise de compromis, votre commission a accepté de préciser, conformément à l'article 10 du RGPD, que ces traitements ne pouvaient être mis en oeuvre par une des personnes limitativement énumérées à l'article 9 de la loi « Informatique et libertés » que « sous le contrôle de l'autorité publique » : tel est l'objet de l'amendement COM-14 de son rapporteur adopté par votre commission.

Concernant la faculté pour les personnes morales de droit privé collaborant au service public de la justice de mettre en oeuvre de tels traitements, l'Assemblée nationale a considéré que les garanties apportées par le Sénat auraient pour conséquence d'exclure « les associations qui bénéficient d'un agrément du ministère de la justice sans que des dispositions législatives consacrent leur mission ». Votre rapporteur rappelle que l'ensemble des missions du service public de la justice sont consacrées dans la loi, notamment les missions d'aide aux victimes8(*). Néanmoins, dans une démarche de compromis, votre commission a adopté un amendement COM-15 de son rapporteur autorisant les personnes morales de droit privé « agrées à cette fin dans les conditions fixées par décret en Conseil d'État » à mettre en oeuvre de tels traitements.

Concernant les fichiers « contentieux » ou « précontentieux », votre rapporteur rappelle que le Conseil constitutionnel avait censuré en 20049(*) une disposition similaire en raison de l'absence de précision sur « les limites susceptibles d'être assignées à la conservation des mentions relatives aux condamnations ». Le Conseil constitutionnel avait considéré que « les seules autorisations délivrées par la Commission nationale de l'informatique et des libertés » ne suffisaient pas à ne pas considérer comme « entaché[e] d'incompétence négative » cette disposition. Selon votre rapporteur, la rédaction adoptée par la commission des lois de l'Assemblée nationale encourt les mêmes griefs. Votre commission a rétabli les garanties qu'elle avait adoptées en première lecture afin d'assurer la constitutionnalité de cette disposition (amendement COM-16 de votre rapporteur).

Concernant l'encadrement de l'open data des décisions de justice, votre rapporteur ne partage pas la volonté de l'Assemblée nationale de renvoyer au pouvoir réglementaire le soin « de préciser les modalités selon lesquelles sera assurée la protection des identités des professionnels de justice ». Recherchant un compromis avec l'Assemblée nationale, votre commission a adopté, à l'initiative de sa rapporteure, un amendement COM-18 visant à prévenir tout risque d'atteinte à la liberté d'appréciation du magistrat et à l'impartialité des juridictions. Contrairement à l'encadrement prévu en première lecture, la protection de l'anonymat n'a pas été prévue pour les avocats, ni pour l'ensemble des personnes citées dans les décisions, mais elle l'a été pour les des greffiers et les agents de la police nationale ou de la gendarmerie nationale10(*).

Comparaison des régimes applicables

 

Droit actuellement
en vigueur

Droit tel qu'il résulte
du règlement et de l'article 11
du projet de loi tel qu'adopté
par l'Assemblée nationale

Droit tel qu'il résulte du règlement et de l'article 11 du projet de loi tel qu'adopté par votre commission

Champ des données

Infractions, condamnations et mesures
de sûreté

Condamnations pénales, infractions ou mesures de sûreté connexes

Infractions, condamnations et mesures de sûreté

Responsables pouvant mettre en oeuvre ces traitements (finalités)

Juridictions, autorités publiques, personnes morales gérant un service public (pour leurs attributions légales)

Auxiliaires de justice (pour les stricts besoins de l'exercice des missions
qui leur sont confiées par la loi)

Sociétés de perception et de gestion des droits d'auteur et de droits voisins, organismes de défense professionnelle (aux fins d'assurer la défense des droits dont elles assurent la gestion ou pour le compte des victimes
d'atteintes à ces droits)

ø

Personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'État (dans la mesure strictement nécessaire
à leur mission)

Personnes morales de droit privé collaborant au service public de la justice agréées dans des conditions fixées par décret en Conseil d'État (dans la mesure strictement nécessaire à leur mission)

Personnes physiques ou morales aux fins de préparation, d'exercice et de suivi d'une action en justice ou pour faire exécuter
une telle décision

Idem (renvoi à un décret en Conseil d'État)

Réutilisateurs des informations publiques figurant
dans les décisions de justice mises à disposition du public

Régime d'autorisation du traitement

Régime d'autorisation, sauf pour les besoins de l'exercice des droits de la défense

Aucun sauf pour les fichiers mis en oeuvre pour le compte de l'État

Régime d'autorisation

Votre commission a adopté l'article 11 ainsi modifié.

Article 13 (art. 53 à 63 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; art. L. 1122-1, L. 1123-7, L. 1124-1 et L. 1461-7 du code de la santé publique) - Données de santé

L'article 13 du projet de loi maintient, comme l'autorise le RGPD, un régime protecteur assorti de formalités préalables spécifiques pour certains traitements de données à caractère personnel dans le domaine de la santé, en distinguant le cas des finalités de recherche.

Par un amendement du Gouvernement adopté en première lecture au Sénat avec un avis de sagesse de votre commission, avaient été introduites en première lecture des dispositions créant un comité d'audit des traitements portant sur les données du système national des données de santé (SNDS), piloté par l'État et complémentaire aux contrôles réalisés par la CNIL, de manière à accroître les possibilités de contrôle de l'utilisation de ces données particulièrement sensibles. En nouvelle lecture, l'Assemblée nationale, sur proposition de sa rapporteure, a souhaité rendre obligatoire la présence du président de la CNIL ou de son représentant, en tant qu'observateur, au sein du comité. Votre rapporteur approuve pleinement cet ajout.

Par ailleurs, le Sénat avait précisé, par l'adoption d'un amendement de séance déposé par notre collègue Annie Delmont-Koropoulis (Les Républicains), que les traitements mis en oeuvre par les régimes complémentaires d'assurance maladie ne pourraient en aucun cas avoir pour finalité la détermination des choix thérapeutiques et médicaux ni la sélection des risques, dispositions supprimées par l'Assemblée nationale en nouvelle lecture au motif que ces données seraient déjà fortement encadrées par le droit en vigueur.

Si votre rapporteur note effectivement que certains textes législatifs applicables à ces organismes interdisent déjà la tarification en fonction de l'état de santé (article L. 110-2 du code de la mutualité, par exemple), votre commission, adoptant son amendement COM-19, a rétabli sur ce point la rédaction du Sénat, estimant plus prudent de prévoir explicitement de telles garanties.

Votre commission a adopté l'article 13 ainsi modifié.

Article 13 ter (art. L. 4123-9-1 du code de la défense, art. 226-16 et 226-17-1 du code pénal et art. 117 de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale) - Régime applicable aux traitements de données dans lesquelles figure la mention de la qualité de militaire

Introduit à l'initiative du Gouvernement en première lecture au Sénat, en séance publique, l'article 13 ter du projet de loi prévoit un assouplissement du régime d'autorisation préalable des fichiers fondés sur la qualité de militaire des personnes qui y figurent.

Depuis la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale, l'article L. 4123-9-1 du code de la défense prévoit un encadrement strict des traitements de données à caractère personnel dont la finalité est fondée sur la qualité de militaire des personnes concernées : l'autorisation préalable de ces fichiers par la CNIL et la réalisation obligatoire d'une enquête administrative concernant les personnes ayant accès à ces fichiers.

L'article 13 ter du projet de loi supprime le régime d'autorisation préalable et l'obligation d'enquête administrative pour le remplacer par un encadrement des conditions de licéité de ces fichiers, un régime déclaratif (et non d'autorisation préalable) obligatoire et la possibilité de réaliser une enquête administrative, voire un « criblage »11(*), des personnes ayant accès à ces fichiers.

En nouvelle lecture, nos collègues députés ont apporté des modifications rédactionnelles aux dispositions ainsi introduites par le Sénat.

Votre commission a adopté l'article 13 ter sans modification.

CHAPITRE V - DISPOSITIONS PARTICULIÈRES RELATIVES AUX DROITS DES PERSONNES CONCERNÉES

Article 14 A (supprimé) (art. 7-1 [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Âge du consentement autonome des mineurs au traitement de leurs données par certains services en ligne

Introduit par l'Assemblée nationale en première lecture, à l'initiative de sa rapporteure, l'article 14 A du projet de loi abaisse de 16 à 15 ans l'âge à partir duquel un mineur peut consentir seul au traitement de ses données concernant l'offre directe de services de la société de l'information. Il prévoit également un double consentement (des parents et du mineur) en-dessous de cet âge et soumet les responsables de traitement à une obligation d'information des mineurs dans des termes adaptés à leur jeune âge.

Supprimé par le Sénat en première lecture, cet article a été réintroduit en nouvelle lecture par l'Assemblée nationale.

Bien consciente du caractère extrêmement délicat du choix à opérer ici, votre rapporteur a, à nouveau, proposé à votre commission, qui l'a suivie, un amendement de suppression COM-20 qui maintient à 16 ans l'âge à partir duquel le responsable d'un traitement de données peut se fonder sur le consentement autonome d'un mineur dans le cadre d'une offre directe de services de la société de l'information.

Votre rapporteur rappelle qu'il s'agit de l'âge par défaut prévu par le RGPD, et auquel les États membres ne devraient déroger qu'après une analyse approfondie sur la pertinence des différents critères d'âge à prendre en compte, ce qui est loin d'être le cas. En fixant cet âge à 16 ans, le Sénat rejoint ainsi la position défendue au niveau européen par la France lors des négociations sur le règlement, position de prudence adoptée tant par la CNIL que par notre commission des affaires européennes. En tout état de cause, ces hésitations révèlent avant tout un problème de société qui doit être réglé par le développement d'une véritable éducation au numérique dotée de moyens à la hauteur des enjeux.

Votre rapporteur tient à souligner qu'elle n'a pas été convaincue non plus par l'introduction d'un double consentement, qui conditionne la licéité du traitement des données des mineurs de moins de 15 ans au consentement tant du représentant légal que du mineur concerné :

- d'un point de vue juridique, cet ajout ne semble pas compatible avec les termes du RGPD qui ne prévoit ni n'autorise une telle condition supplémentaire12(*) ;

- en pratique, votre rapporteur s'interroge concrètement sur la façon dont de telles dispositions trouveront à s'appliquer dans le cas de jeunes enfants incapables d'une manifestation de volonté éclairée et dont les représentants légaux souhaiteraient faire bénéficier de certains services en ligne...

Votre commission a supprimé l'article 14 A.

Article 14 (art. 10 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; art. L. 612-3 du code de l'éducation) - Décisions prises sur le fondement d'algorithmes

L'article 14 du projet de loi traite des décisions prises, par des personnes publiques ou privées, sur le fondement de traitements automatisés de données à caractère personnel et produisant des effets juridiques sur d'autres personnes ou les affectant de manière significative. Il vise à adapter le droit interne à l'article 22 du RGPD - qui prohibe par principe de telles décisions - tout en tirant parti d'une marge de manoeuvre laissée aux États membres, afin d'autoriser sous certaines conditions les décisions administratives individuelles automatisées.

· Les garanties apportées par le Sénat en première lecture pour la protection des droits des personnes physiques

Considérant que cet article ouvrait la voie à de dangereuses dérives, parce qu'il étendait à l'extrême la faculté d'automatiser entièrement des décisions affectant les individus, le Sénat avait veillé, en première lecture, à apporter plusieurs garanties indispensables.

L'extension de l'interdiction de principe des décisions automatisées

À l'initiative de votre rapporteur, votre commission avait d'abord étendu la portée de l'interdiction de principe des décisions exclusivement fondées sur des traitements automatisés de données personnelles aux décisions qui, sans produire d'effets juridiques, affectent les personnes de manière significative. En cela, votre commission n'avait fait que reprendre les termes mêmes du règlement européen.

Une automatisation strictement encadrée des décisions individuelles prises par l'administration

Votre commission avait également encadré beaucoup plus strictement le champ des décisions administratives individuelles susceptibles d'être intégralement automatisées. En effet, le texte adopté en première lecture par l'Assemblée nationale ouvrait la voie à l'automatisation de n'importe quelle décision individuelle, depuis la liquidation d'un impôt jusqu'à l'expulsion d'un étranger en passant par la délivrance d'une autorisation d'urbanisme ou l'interdiction d'une réunion publique, à la seule condition qu'elle ne soit pas fondée sur un traitement de données dites « sensibles » - et moyennant le respect des exigences de motivation prévues par ailleurs par le code des relations entre le public et l'administration en ce qui concerne les décisions défavorables.

À cet égard, votre rapporteur avait alerté sur un triple risque :

- le risque qu'une décision automatisée soit aveugle à des circonstances de l'espèce qui mériteraient d'être prises en compte ; le recours exclusif aux algorithmes doit donc être réservé à des cas qui n'appellent aucun pouvoir d'appréciation ;

- le risque, lié à l'essor de l'intelligence artificielle et des algorithmes « auto-apprenants », que des décisions individuelles soient prises par l'administration sans qu'elle-même sache exactement suivant quels critères : c'est le phénomène des « boîtes noires » ;

- le risque, illustré par le cas d'« Admission post-bac » (APB), que la programmation des algorithmes n'aboutisse à contourner les règles de forme et de fond qui encadrent l'exercice du pouvoir réglementaire. Il en va ainsi lorsque les opérations effectuées par un algorithme (tel que programmé par les services informatiques d'une administration) ne correspondent qu'approximativement, voire pas du tout, aux règles édictées par l'autorité compétente, dans les formes requises, dans le respect de la hiérarchie des normes et sous le contrôle du juge.

Votre commission, sans remettre en cause l'intérêt lié à l'automatisation de certaines tâches répétitives et que l'on dit justement « mécaniques », avait donc réservé la faculté d'automatiser entièrement des décisions administratives individuelles :

- aux décisions fondées sur des traitements automatisés de données ayant pour seul objet d'appliquer strictement des dispositions légales ou réglementaires à des situations individuelles, caractérisées par des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement qu'un algorithme ;

- aux décisions par lesquelles l'administration se borne à exercer ses pouvoirs de contrôle ou d'enquête (par exemple l'engagement d'un contrôle fiscal), décisions qui ne font pas grief par elles-mêmes.

Votre commission avait considéré qu'en toute hypothèse, les décisions par lesquelles l'administration se prononce sur un recours gracieux ou hiérarchique ne sauraient être elles-mêmes intégralement automatisées.

Enfin, votre commission avait souhaité que l'omission, sur le texte d'une décision prise sur le fondement d'un traitement algorithmique, des mentions prévues à l'article L. 311-3-1 du code des relations entre le public et l'administration13(*), devait entraîner la nullité de plein droit de la décision, cette omission privant la personne concernée d'une garantie essentielle pour ses droits et libertés.

En séance publique, le Sénat avait adopté un amendement de notre collègue Sylvie Robert et des membres du groupe socialiste et républicain, précisant que l'administré à l'égard de qui aurait été prise une décision automatisée devait avoir la possibilité d'exprimer son point de vue et de contester la décision.

Par l'adoption d'un amendement du Gouvernement et d'un amendement identique présenté par notre collègue Jérôme Durain et les membres du groupe socialiste et républicain, le Sénat avait supprimé l'exception introduite en commission en faveur des actes de contrôle ou d'enquête14(*).

Enfin, par l'adoption d'un amendement de notre collègue Maryse Carrère, le Sénat avait prévu que les règles définitoires et les principales caractéristiques de mise en oeuvre des traitements algorithmiques sur le fondement desquels l'administration prend des décisions individuelles seraient désormais systématiquement publiées.

La transparence de « Parcoursup »

Votre commission, suivie en cela par le Sénat, avait également supprimé la dérogation aux règles de transparence prévues par le code des relations entre le public et l'administration au bénéfice des algorithmes utilisés par les établissements d'enseignement supérieur pour le classement des candidats à l'admission en première année, dans le cadre de la procédure dite « Parcoursup ». Cette dérogation a été introduite tout récemment dans notre droit par la loi n° 2018-166 du 8 mars 2018 relative à l'orientation et à la réussite des étudiants15(*).

Il convient de s'étendre un peu sur ce point, sur lequel le Gouvernement a délibérément entretenu la confusion.

En premier lieu, contrairement à ce que le Gouvernement a prétendu, la suppression de la dérogation aux règles de transparence des algorithmes n'avait aucunement pour effet de priver de base légale l'examen « humain » des dossiers des candidats par les équipes pédagogiques des établissements.

En deuxième lieu, cette suppression n'avait pas d'effet notable sur la motivation des décisions d'admission ou de refus d'admission prises par les chefs d'établissement, ni sur la publicité donnée aux délibérations des équipes pédagogiques. Car sur ce point, le Gouvernement n'a jamais pris de position claire, et la loi reste ambiguë. Certes, la dérogation aux règles de transparence des algorithmes est justifiée, dans le texte de la loi, par le souci de « garantir la nécessaire protection du secret des délibérations des équipes pédagogiques chargées de l'examen des candidatures »16(*), ce qui a indirectement pour effet de donner force légale à la protection de ce secret. Néanmoins, la loi dispose aussi que les candidats peuvent obtenir, s'ils en font la demande, « la communication des informations relatives aux critères et modalités d'examen de leurs candidatures ainsi que des motifs pédagogiques qui justifient la décision prise », ce qui revient à admettre que les équipes pédagogiques ne disposent pas du même pouvoir souverain d'appréciation qu'un jury d'examen ou de concours17(*), et que les décisions d'admission ou de non-admission en licence, comme en master18(*), sont soumises à une obligation de motivation a posteriori.

L'intention du Sénat n'était pas de mettre à mal le secret des délibérations des équipes pédagogiques, sous réserve de ces exigences de motivation des décisions auxquelles elles donnent lieu. En revanche, il lui a paru légitime que les algorithmes de classement utilisés par les établissements, supposément en tant qu'« aides à la décision », soient soumis aux mêmes règles de transparence que l'ensemble des algorithmes employés par l'administration19(*). Après tout, c'est le scandale provoqué par l'algorithme de classement du précédent système d'affectation des bacheliers dans l'enseignement supérieur, dit « Admission post-bac », qui a motivé en grande partie l'introduction de ces règles de transparence dans la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique ! Il ne serait pas si difficile, pour les établissements, de communiquer ou de publier les règles de fonctionnement des algorithmes qu'ils utilisent, tout en indiquant que le classement produit par l'algorithme a pu être modifié par l'équipe pédagogique au vu d'éléments non pris en compte par celui-ci.

En outre - et c'est là le troisième aspect sous lequel l'argumentation du Gouvernement se révèle fallacieuse -, il apparaît clairement, d'après les informations recueillies par votre rapporteur, que le classement des candidats dans un grand nombre de formations sera très largement délégué à la machine. Compte tenu du fonctionnement de « Parcoursup », les établissements devront traiter un nombre de dossiers beaucoup plus élevé que précédemment, et ils devront classer toutes les candidatures reçues. Qui peut penser que les équipes d'enseignants-chercheurs auront le temps et les moyens de procéder à un examen individualisé de milliers de dossiers ? Beaucoup devront se contenter de paramétrer l'algorithme de classement fourni par le ministère afin d'en affiner et d'en pondérer les critères, d'appliquer cet algorithme à l'ensemble des candidatures, et de n'examiner ensuite, tout au mieux, qu'un nombre limité de dossiers (par exemple ceux qui seront classés de part et d'autre de l'effectif maximal d'une formation, ou les dossiers classés ex aequo)20(*). Dès lors, il est encore moins légitime de dissimuler aux candidats les règles de fonctionnement de l'algorithme, qui aura entièrement déterminé le sort réservé à leur demande.

· Les reculs successifs de l'Assemblée nationale et la position de votre commission, ouverte au compromis mais ferme sur les principes

Après l'échec de la commission mixte paritaire, qui avait notamment achoppé sur cet article 14, l'Assemblée nationale est revenue, en nouvelle lecture, sur la plupart des garanties apportées par le Sénat. Votre commission, tout en prenant acte des quelques avancées acceptées par les députés et en se montrant ouverte au compromis sur d'autres points, a estimé nécessaire de défendre fermement certains principes.

Nos collègues députés ont accepté d'étendre la portée du principe de prohibition des décisions automatisées inscrit dans la loi Informatique et libertés à celles qui, sans produire d'effets juridiques, affectent significativement une personne. On ne peut que s'en féliciter. Ils ont également souhaité que, dans la sphère privée, les décisions dérogeant à ce principe soient soumises aux mêmes règles de transparence que celles qui s'imposent aux décisions administratives individuelles, y compris lorsqu'elles ne produisent pas d'effets juridiques. Tout en exprimant derechef ses doutes sur la pertinence et le caractère praticable d'une telle extension, votre rapporteur n'y a pas vu d'objection de principe ; aussi votre commission s'est-elle ralliée sur ce point à la rédaction de l'Assemblée nationale en signe de bonne volonté.

Dans la sphère administrative, nos collègues députés ont bien voulu conserver l'un des garde-fous ajoutés par le Sénat, afin que les décisions prises dans le cadre d'un recours administratif ne soient pas elles-mêmes entièrement automatisées.

En revanche, ils ont rétabli l'autorisation extrêmement large des décisions administratives individuelles intégralement automatisées, aux seules conditions qu'elles ne se fondent pas sur le traitement de données sensibles et que « le responsable de traitement s'assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détails et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en oeuvre à son égard ». Ce caveat permet de se prémunir contre les algorithmes « boîtes noires ». En revanche, il n'écarte pas les deux autres risques indiqués par votre rapporteur : d'une part, que l'administration n'exerce pas le pouvoir d'appréciation qui lui est reconnu pour tenir compte de la singularité de chaque cas ; d'autre part, que le paramétrage des algorithmes aboutisse à contourner les règles de forme et de fond qui régissent l'édiction de règlements.

Aussi votre commission a-t-elle rétabli la rédaction adoptée par le Sénat en première lecture, nettement plus protectrice des droits et libertés individuels (amendement COM-22 rectifié du rapporteur).

S'agissant de la nullité de plein droit des décisions prises sur le fondement d'un traitement algorithmique où serait omise la mention en ce sens prévue par le code des relations entre le public et l'administration, la commission des lois de l'Assemblée nationale en avait d'abord admis le principe, tout en reportant son application au 1er janvier  2019. Toutefois, en séance publique a été adopté un amendement du Gouvernement qui limite cette nullité de plein droit aux décisions prises sur le seul fondement d'un traitement algorithmique, à l'exclusion de celles pour lesquelles l'algorithme n'aurait servi que d'« aide à la décision ». Selon le Gouvernement, la mention légale ne constituerait une garantie substantielle que dans le premier cas, ce qui est tout à fait contestable. Doit-on s'en remettre à l'appréciation du juge, en supposant par exemple qu'à défaut de mention, il annulerait la décision si celle-ci est défavorable et que l'algorithme y a joué un rôle déterminant ? Encore faudrait-il que le juge fût saisi, ce qui supposerait que l'intéressé soit informé du fait qu'un algorithme a été utilisé pour prendre la décision...

En outre, les députés ont accepté, toujours à l'initiative du Gouvernement, de reporter l'application de cette disposition au 1er juillet 2020, « à des fins de bonne administration » (article 24)... Il est tout de même paradoxal que l'administration, alors même qu'elle se verrait désormais autorisée à prendre des décisions sur le seul fondement d'un traitement algorithmique, ne soit pas en mesure de l'indiquer sur le texte de ces décisions et de respecter ainsi une obligation légale qui lui incombe d'ores et déjà !

Sur proposition de son rapporteur, votre commission a donc rétabli à ce sujet la rédaction adoptée par le Sénat en première lecture.

La commission des lois de l'Assemblée nationale est revenue sur la modification aux règles de transparence des algorithmes introduite par le Sénat en séance publique, contre l'avis de votre commission, par un amendement de notre collègue Maryse Carrère, visant à ce que les règles et caractéristiques de mise en oeuvre des traitements algorithmiques fondant des décisions individuelles soient systématiquement publiées en ligne, et non plus communiquées sur demande. Sur ce point, votre rapporteur souscrit aux arguments avancés par le Gouvernement devant le Sénat : imposer la publication systématique des « principales caractéristiques de mise en oeuvre » des algorithmes obligerait les administrations à ne publier que des informations standardisées, alors que cette notion doit être entendue comme désignant les modalités précises d'utilisation et d'application d'un algorithme à chaque situation concrète21(*). Votre commission a donc fait le choix de ne pas reprendre cette disposition dans le texte qu'elle a établi.

S'agissant enfin de « Parcoursup », votre commission a rétabli le texte adopté par le Sénat en nouvelle lecture, qui supprime la dérogation aux règles de transparence des algorithmes prévues par le code des relations entre le public et l'administration au bénéfice des algorithmes de classement utilisés par les établissements d'enseignement supérieur (amendement COM-23 du rapporteur). Sur ce point, l'obstination du Gouvernement et de l'Assemblée nationale est d'autant plus incompréhensible que deux éléments nouveaux sont apparus depuis la première lecture, qui confortent la position du Sénat.

D'une part, dans sa délibération du 22 mars 2018 sur « Parcoursup », la CNIL a relevé que le droit d'accès des personnes physiques aux données personnelles qui les concernent, au sens de la loi Informatique et libertés, comprend le droit de se voir communiquer tous les éléments permettant de comprendre la logique qui sous-tend un algorithme ayant fondé une décision à l'égard de ces personnes. La dérogation introduite, au bénéfice de « Parcoursup », aux règles de transparence prévues par le code des relations entre le public et l'administration est « sans incidence », écrit la CNIL, sur les règles très proches prévues par la loi Informatique et libertés. Par conséquent, le ministère devra fournir aux candidats, à leur demande, toutes les informations utiles sur l'algorithme d'affectation utilisé par l'administration centrale, et « les établissements d'enseignement supérieur qui recourraient à un traitement algorithmique pour examiner les candidatures qui leur sont soumises devront également fournir l'ensemble des éléments permettant de comprendre la logique qui sous-tend cet algorithme »22(*).

D'autre part, le Président de la République, dans son allocution du 28 mars 2018 au Collège de France sur l'intelligence artificielle, a clairement pris position pour la transparence dans l'usage des algorithmes, y compris pour l'accès à l'université. Il a d'ailleurs émis le souhait que des décisions ne soient jamais entièrement déléguées à un algorithme, ce qui va directement à l'encontre des dispositions prévues à cet article...

On ne citera qu'un extrait de ce long discours : « La clé est de mettre partout de la transparence publique sur les algorithmes, rendre les algorithmes publics, s'assurer qu'ils sont utilisés en transparence, traquer leurs biais, ne pas leur confier le monopole de la décision, s'engager à les enrichir ou les compléter par la décision humaine. [...] Cette transparence, elle suppose une interaction permanente entre l'intelligence artificielle et l'humain et les choix qui seront faits, elle suppose des débats permanents, des corrections, elle suppose qu'à partir du moment où on va mettre l'entrée à l'université, l'entrée dans une profession ou une formation derrière un algorithme, [on défère à] la nécessité de rendre plus démocratique cet algorithme et donc de s'assurer de sa loyauté, de s'assurer de sa transparence complète et qu'il puisse y avoir un débat sur ces règles sinon nous déléguons à l'algorithme le choix entre des priorités démocratiques23(*)»

Votre rapporteur ne peut qu'inviter le Gouvernement et l'Assemblée nationale à s'inspirer de ces excellents principes.

Votre commission a adopté l'article 14 ainsi modifié.

Article 14 bis A (art. L. 121-4-2 [nouveau] du code de l'éducation) - Transparence du traitement des données scolaires

L'article 14 bis A résulte de l'adoption par le Sénat, en première lecture en séance publique, d'un amendement de notre collègue Alain Marc (Les Indépendants - République et Territoires). Il inscrit, au sein d'un nouvel article L. 121-4-2 du code de l'éducation, l'obligation pour les établissements d'enseignement scolaire de mettre à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité afin, notamment, que les parents d'élèves puissent savoir comment les données de leurs enfants sont traitées par les établissements d'enseignement public.

L'Assemblée nationale n'a apporté à cet article, dont elle partageait l'objectif, que des modifications rédactionnelles, reportant en outre son entrée en vigueur à la rentrée 2018-2019 (voir l'article 24).

Votre commission a adopté l'article 14 bis A sans modification.

Article 14 bis (art. 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Information des mineurs de moins de 15 ans

L'article 14 bis du projet de loi renforce l'obligation d'information à la charge des responsables de traitement en leur imposant, lorsque des données personnelles sont collectées auprès d'un mineur, que les éléments qui lui sont transmis le soient « dans un langage clair et facilement compréhensible ».

Au bénéfice de l'adoption d'un amendement COM-24 de son rapporteur, de coordination avec l'article 14 A relevant à 16 ans l'âge en dessous duquel la clarté de l'information est ainsi renforcée, votre commission a adopté l'article 14 bis ainsi modifié.

CHAPITRE VI - VOIES DE RECOURS

Article 16 A (art. 43 ter de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Action de groupe en réparation

Introduit par l'Assemblée nationale en première lecture, par l'adoption en commission d'un amendement de sa rapporteure, l'article 16 A du projet de loi vise à étendre l'objet de l'action de groupe en matière de données personnelles à la réparation des préjudices matériels et moraux subis en raison d'un manquement aux obligations incombant à un responsable de traitement ou à son sous-traitant.

· Une innovation procédurale acceptée par le Sénat en première lecture, moyennant quelques tempéraments

Le Sénat avait accepté, en première lecture, l'extension de la procédure d'action de groupe à la réparation des préjudices causés par la violation des règles de protection des données à caractère personnel. Notre assemblée y avait vu une innovation utile pour renforcer l'effectivité des droits des personnes en cas de manquement des responsables de traitement, qui aurait en outre un fort effet dissuasif sur ces derniers.

À l'initiative de votre rapporteur, votre commission avait d'ailleurs étendu la portée de cette action de groupe en réparation, en prévoyant qu'elle s'appliquerait également aux préjudices causés par la violation du RGPD, et non pas seulement de la loi française.

Toutefois, il avait semblé nécessaire à votre commission d'apporter à ce dispositif quelques garde-fous :

- en imposant au demandeur à l'action d'en informer la CNIL, afin que celle-ci puisse effectivement exercer sa nouvelle faculté de présenter des observations devant toute juridiction ;

- en imposant l'agrément préalable obligatoire des associations dont l'objet statutaire est la protection de la vie privée et des données personnelles pour qu'elles puissent introduire une action de groupe, comme c'est le cas en matière de consommation, d'environnement et de santé ;

- en limitant cette nouvelle procédure à la réparation des dommages dont le fait générateur serait survenu postérieurement à son entrée en vigueur, comme l'a fait le législateur dans la quasi-totalité des cas où il a créé une action de groupe en réparation ;

- en différant de deux ans l'entrée en vigueur de l'action de groupe en réparation en matière de données personnelles, afin que les responsables de traitement, et notamment les plus petits d'entre eux (TPE-PME et collectivités territoriales), aient le temps de se mettre en conformité avec leurs nouvelles obligations issues du RGPD.

· Le refus, par l'Assemblée nationale, des principaux garde-fous souhaités par le Sénat

S'ils ont accepté le principe d'une information de la CNIL en cas d'introduction d'une action de groupe et celui de la limitation de cette procédure à la réparation des dommages dont le fait générateur sera survenu postérieurement à son entrée en vigueur, nos collègues députés sont revenus en nouvelle lecture, en commission et à l'initiative de la rapporteure, sur les deux autres garde-fous proposés par le Sénat. Ils ont également apporté à cet article quelques modifications rédactionnelles.

· La position de votre commission : rétablir l'équilibre trouvé en première lecture

Votre rapporteur n'a pas entendu d'argument probant qui s'oppose à l'agrément préalable des associations habilitées à introduire une action de groupe en matière de données personnelles. Compte tenu de l'enjeu financier considérable d'une telle procédure, il importe de se prémunir contre les risques d'abus. Le Sénat n'avait d'ailleurs pas subordonné l'agrément d'une association à des conditions excessives : il s'agissait seulement de s'assurer de l'activité effective de l'association, de la transparence de sa gestion, de sa représentativité et de son indépendance. Un tel agrément est requis en matière de consommation, d'environnement et de santé, et l'on conviendra que la réparation des dommages corporels causés par des manquements aux règles sanitaires n'est pas moins importante que celle des préjudices en matière de données personnelles...

Votre rapporteur reste également convaincue de la nécessité de reporter de deux ans l'entrée en vigueur de cette action de groupe en réparation. Chacun s'accorde à dire que les petits responsables de traitement, TPE-PME et collectivités territoriales, ne sont pas prêts pour appliquer dès le 25 mai 2018 l'ensemble des règles issues du RGPD. Il est de notre responsabilité de leur laisser un peu de temps et de ne pas les exposer dès à présent à de trop lourdes condamnations.

Notons d'ailleurs que, sur ce second point, le Gouvernement s'en était remis à l'appréciation du Parlement et n'avait pas déposé d'amendement au Sénat en séance publique.

Aussi votre commission des lois a-t-elle rétabli la rédaction de l'article 16 A adoptée par le Sénat en première lecture (amendements COM-25 et COM-26 du rapporteur), ainsi que le report de deux ans de son entrée en vigueur (amendement COM-40 du rapporteur à l'article 24).

Votre commission a adopté l'article 16 A ainsi modifié.

Article 16 (art. 43 quater [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Recours par mandataire

L'article 16 du projet de loi vise à permettre à toute personne de mandater une association ou une organisation syndicale aux fins d'exercer en son nom ses droits de recours devant la CNIL et les juridictions.

Afin de ne pas soumettre les associations susceptibles d'être ainsi mandatées à la condition d'agrément prévue pour l'introduction d'une action de groupe, votre commission a rétabli ici la disposition - supprimée par l'Assemblée nationale par cohérence avec la position adoptée à l'article 16 A - qui les en exonère (amendement COM-27 du rapporteur).

Votre commission a adopté l'article 16 ainsi modifié.

Article 17 bis - Obligation, pour les responsables de traitement, de démontrer que les contrats conclus ne font pas obstacle au consentement et préservation, pour les utilisateurs, de leur liberté d'accès aux applications et services de leur choix sur les terminaux électroniques

Introduit en commission par le Sénat en première lecture, à l'initiative de notre collègue Claude Raynal (Socialiste et républicain) puis réécrit en séance à l'initiative du Gouvernement, l'article 17 bis du projet de loi vise à favoriser, pour le consommateur accédant à Internet, un choix de services et d'applications diversifiés sur leurs terminaux électroniques offrant les meilleures garanties de protection des données personnelles.

Il s'agit, très concrètement, d'éviter que les utilisateurs de terminaux mobiles soient enfermés dans un écosystème dominé par un seul opérateur et d'empêcher, par exemple, que des fabricants de terminaux se voient imposer de proposer aux utilisateurs certains services installés par défaut, sans alternative et collectant des données à caractère personnel pour les monétiser.

Le mécanisme initial proposé par cet article étant susceptible de porter atteinte à la liberté contractuelle, votre rapporteur avait salué un amendement d'appel en commission et donné un avis favorable à la réécriture proposée par le Gouvernement en séance.

Le présent article impose ainsi d'abord, de façon générale, au responsable d'un traitement reposant sur le consentement de la personne concernée « d'être en mesure de démontrer que les contrats qu'il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l'utilisateur final ». Il s'agit là d'une formulation que votre rapporteur a pleinement approuvée et qui peut se prévaloir tant de l'article 7, paragraphe 1, du RGPD (démonstrabilité du consentement) que de l'article 25 (relatif à la protection des données dès la conception et par défaut - « privacy by design / privacy by default »).

Cette formulation a cependant été ensuite enrichie par l'Assemblée nationale en nouvelle lecture d'un second alinéa qui donne désormais des exemples des cas de figures prohibés parce qu'il serait fait obstacle au consentement. Aux termes de l'ajout des députés :

« Peut en particulier faire obstacle à ce consentement le fait de restreindre indûment, sans justification d'ordre technique, économique ou de sécurité, les possibilités de choix de l'utilisateur final, notamment lors de la configuration initiale du terminal, en matière de services de communication au public en ligne et aux applications accessibles sur un terminal, présentant des offres et des conditions d'utilisation de nature équivalente selon des niveaux différenciés de protection des données personnelles. »

Votre rapporteur s'interroge sur la pertinence et sur la solidité juridique de ce dernier ajout. En effet :

- d'abord, les conditions de validité du recueil du consentement auprès des particuliers sont désormais entièrement régies par le RGPD (article 7 « Conditions applicables au consentement »), et il semble difficile pour le droit national de venir en préciser les modalités avec ce degré de détail (de telles considérations techniques auraient en revanche pleinement leur place directement dans le règlement e-privacy dont la réforme est toujours en cours à l'échelon européen) ;

- ensuite, la construction de la phrase n'est pas des plus intelligible, procédant par une double illustration imbriquée (« peut en particulier », « notamment lors de »), aux dépens de la clarté de la norme et au risque d'avoir des effets de bord imprévus, bien au-delà de la situation pour laquelle cette solution juridique a été imaginée (et qui concerne à l'origine le seul problème des moteurs de recherche préinstallés sur certains terminaux) ;

- en outre, la formulation choisie ménage de larges exceptions peu contraignantes (« sans justification d'ordre technique économique ou de sécurité ») que les grands acteurs du marché ne manqueront pas de mettre en avant pour faire obstacle à l'application effective de ce nouveau principe ; pour éviter cet écueil, votre commission a adopté un amendement COM-1 présenté par notre collègue Alain Marc qui restreint le champ de ces exceptions, prévoyant que les responsables de traitement ne puissent désormais se prévaloir que d'un « motif légitime d'ordre technique ou de sécurité » ;

- enfin, la sanction d'un manquement à ces nouveaux principes est laissée en suspens (s'agit-il d'une violation du principe de responsabilité ou d'une violation du principe de licéité du recueil du consentement ?)

Il s'agit en définitive, selon votre rapporteur, d'un problème qui ne pourra être réglé de façon pérenne et réellement satisfaisante que grâce aux instruments juridiques les mieux appropriés, ceux qui relèvent du droit de la concurrence ou ceux qui régissent les pratiques commerciales.

Si elle se réjouit donc qu'une formulation de compromis, même imparfaite, ait pu se dégager au fil de la navette entre le Sénat, le Gouvernement et l'Assemblée nationale, elle rappelle sa conviction profonde que le droit des données personnelles ne lui paraît pas ici le meilleur outil pour résoudre cette situation, et elle regrette vivement que l'Assemblée nationale n'ait pas maintenu l'article suivant que le Sénat avait introduit précisément à cet effet pour répondre à cet objectif (voir infra article 17 ter).

Dans un esprit de compromis, votre commission a adopté l'article 17 bis ainsi modifié.

Article 17 ter (art. L. 420-2-3 [nouveau], L. 420-3, L. 420-4, L. 450-5, L. 462-3, L. 462-5, L. 462-6, L. 464-2 et L. 464-9 du code de commerce) - Prohibition de l'exploitation abusive d'une position dominante sur le marché des services de communication au public en ligne en subordonnant la vente d'un terminal à l'achat d'un service

L'article 17 ter est issu de l'adoption en première lecture en séance au Sénat d'un amendement de notre collègue Catherine Morin-Desailly (Union Centriste), avec l'avis favorable de votre commission.

Comme le précédent article, il vise à mieux garantir le libre choix pour les consommateurs de leurs outils numériques (moteur de recherche sur internet, système d'exploitation pour un ordinateur ou un smartphone, applications préinstallées, magasins d'applications...) en tentant de mieux encadrer certains phénomènes de vente liée qui peuvent amener à défavoriser indûment certains acteurs pourtant plus respectueux de la vie privée de leurs utilisateurs.

À la différence de l'article 17 bis (voir supra), le présent article relève directement du droit de la concurrence et vise à encadrer certaines pratiques commerciales : il propose ainsi de renforcer les moyens offerts pour lutter contre les abus de position dominante mettant en jeu des interactions sur deux marchés distincts au sens du droit de la concurrence : le marché des services en ligne, d'une part, et celui des terminaux, d'autre part.

Il vise concrètement à prohiber les abus de position dominante ayant pour effet d'imposer au consommateur d'acheter des matériels informatiques dotés dès l'achat d'applications et de services, du fait de la position dominante des éditeurs de ces applications et services vis-à-vis des fabricants.

Il crée, dans le code de commerce, un nouvel article L. 420-2-3 qui prohibe, « lorsqu'elle tend à limiter l'accès au marché ou le libre exercice de la concurrence par d'autres entreprises, l'exploitation abusive par une entreprise ou un groupe d'entreprises d'une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d'un tel équipement à l'achat concomitant d'un tel service ». Seraient frappés de nullité les engagements, conventions et clauses contractuelles se rapportant à une telle pratique et les sanctions encourues seraient celles que peut prononcer l'Autorité de la concurrence en matière de pratiques anticoncurrentielles (en particulier des sanctions pécuniaires).

Votre rapporteur a proposé un amendement COM-28, à la commission, qui l'a adopté, visant à rétablir cet article introduit par le Sénat mais supprimé en nouvelle lecture par l'Assemblée nationale, au bénéfice d'une précision rédactionnelle.

Alors que le ministère de l'économie et la direction générale de la concurrence, de la consommation et de la répression des fraudes ont assigné le 14 mars dernier Apple et Google devant le tribunal de commerce de Paris pour demander la cessation de certaines pratiques commerciales abusives concernant leurs « magasins d'applications », le présent amendement vise à élargir l'arsenal des mesures et permet de garantir au consommateur un réel choix.

Votre commission a rétabli l'article 17 ter ainsi rédigé.

TITRE III - DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D'ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D'EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2009/977/JAI DU CONSEIL

Article 18 (art. 32, 41 et 42 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Droit à l'information en matière pénale - Suppression de certains régimes d'exercice indirect du droit d'accès

L'article 18 du projet de loi vise à assurer les coordinations nécessaires dans la loi « Informatique et libertés » en supprimant les dispositions rendues inutiles par l'article 19 du projet de loi conformément à la directive (UE) 2016/680 (droit à l'information, caractère direct de l'exercice des droits d'accès, de rectification et d'effacement).

En première lecture, le Sénat avait adopté en séance un amendement de notre collègue Jérôme Durain et des membres du groupe socialiste et républicain, supprimant le caractère indirect de l'exercice des droits d'accès, de rectification et d'effacement pour les traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public consistant à « contrôler ou recouvrer des impositions ».

Considérant qu'une telle disposition fragilisait la politique de lutte contre la fraude fiscale, nos collègues députés ont supprimé cette disposition en nouvelle lecture.

Votre commission a adopté l'article 18 sans modification.

Article 19 (art. 70-1 à 70-27 [nouveaux] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Traitements de données à caractère personnel en matière pénale

L'article 19 du projet de loi vise à transposer les règles applicables au traitement de données à caractère personnel prévues par la directive (UE) 2016/680, qui auront vocation à s'appliquer, par dérogation aux autres dispositions de la loi n° 78-17 du 6 janvier 1978, aux traitements de données personnelles mis en oeuvre par la police et les autorités judiciaires en matière pénale.

· Les garanties apportées par le Sénat en première lecture pour la protection des droits des personnes

En première lecture, votre rapporteur avait déploré l'absence de réelle transposition de la directive (UE) 2016/680 : pour être conformes aux exigences constitutionnelles et échapper au grief « d'incompétence négative du législateur », les dispositions du droit national doivent, au minimum, définir les conditions de licéité d'un traitement de données à caractère personnel, les données à caractère personnel concernées et les finalités du traitement.

Afin que les traitements de données à caractère personnel en matière pénale ne constituent pas une atteinte disproportionnée au principe constitutionnel du droit au respect de la vie privée, le Sénat avait adopté plusieurs dispositions encadrant leur régime :

- la nécessité d'une autorisation préalable de la Commission nationale de l'informatique et des libertés (CNIL) pour les fichiers en matière pénale relevant de la directive autres que ceux mis en oeuvre par l'État (nouvel article 70-3 de la loi « Informatique et libertés ») ;

l'encadrement des traitements ultérieurs de données à caractère personnel en les soumettant à un principe de nécessité et de proportionnalité (nouvel article 70-6) ;

- la nécessité, au lieu d'une obligation de moyens, de distinguer les données à caractère personnel fondées sur des faits des données fondées sur des appréciations personnelles (nouvel article 70-6) ;

- par cohérence avec les modifications opérées à l'article 14 du projet de loi, l'encadrement de l'interdiction des décisions de justice, ou produisant des effets juridiques, fondées sur le profilage (nouvel article 70-9) ;

- l'obligation de préciser dans un contrat liant un sous-traitant à un responsable de traitement les mesures techniques et organisationnelles destinées à assurer la sécurité du traitement (nouvel article 70-10) ;

- la nécessité, au lieu d'une obligation de moyens, de vérifier la qualité des données à caractère personnel avant la transmission ou la mise à disposition du traitement (nouvel article 70-11) ;

- la nécessité, au lieu d'une obligation de moyens, de distinguer les données relevant des personnes mises en cause, coupables, victimes ou tiers à une procédure pénale (nouvel article 70-12) ;

l'extension de la liste des informations communiquées à la personne concernée par un traitement aux stipulations du contrat de sous-traitance relatives à la protection des données personnelles (nouvel article 70-18) ;

la limitation à un mois du délai de réponse des responsables de traitement aux demandes d'effacement ou de rectification (nouvel article 70-20) ;

l'obligation d'informer une personne concernée par une restriction de son droit à l'information concernant un fichier, de sa possibilité de former un recours juridictionnel (nouvel article 70-22).

· Le refus de l'Assemblée nationale d'encadrer les fichiers en matière pénale

En nouvelle lecture, à l'initiative du Gouvernement ou de sa rapporteure, la commission des lois de l'Assemblée nationale est revenue sur la quasi-totalité de l'encadrement souhaité par le Sénat, considérant que les dispositions « surtransposaient la directive » ou « contrevenaient à l'esprit général du nouveau cadre européen ».

À l'initiative du Gouvernement, elle a notamment supprimé le régime d'autorisation préalable par la CNIL de ces fichiers alors même que le considérant 15 de la directive (UE) 2016/680 souligne que « le rapprochement des législations des États membres ne devrait pas conduire à un affaiblissement de la protection des données à caractère personnel qu'elles offrent ».

Elle a également réduit le droit à l'information des personnes concernant leur possibilité d'exercer un recours juridictionnel, supprimé l'encadrement du délai de réponse des responsables de traitement et rétabli les trois obligations de moyens transformées en obligations de résultat par le Sénat en première lecture.

· La position de votre commission : rétablir l'équilibre trouvé en première lecture, garant des exigences constitutionnelles

Comme en première lecture, votre rapporteur ne souhaite pas affaiblir la protection des données à caractère personnel actuellement prévue pour les fichiers en matière pénale. À cette fin, votre commission a adopté l'amendement COM-29 de votre rapporteur visant à maintenir le régime d'autorisation préalable pour les fichiers entrant dans le champ d'application de la directive hors ceux mis en oeuvre pour le compte de l'État.

Votre rapporteur a également considéré que le projet de loi adopté par l'Assemblée nationale en nouvelle lecture « sous-transposait » les exigences de la directive et, dès lors, n'assurait pas un équilibre garant des exigences constitutionnelles.

À l'initiative de votre rapporteur (amendement COM-30), votre commission a rétabli, au nouvel article 70-8, une transposition exigeante du principe d'exactitude en imposant une distinction entre les données fondées sur des faits des données fondées sur des appréciations personnelles. Par le même amendement, elle a également transformé l'obligation de moyens concernant la vérification de la qualité des données avant transmission d'un fichier en une obligation de résultat, au regard des enjeux en cas d'inexactitude des données. Enfin, par le même amendement, elle a également rendu impérative la distinction des données entre victimes, mis en cause, témoins et personnes condamnées.

Votre commission a également adopté, comme en premier lecture, l'interdiction des décisions affectant de manière significative une personne lorsqu'elles sont fondées sur le fondement exclusif d'un traitement automatisé de données (amendement COM-31). A fortiori en matière pénale, il apparaît contraire aux exigences constitutionnelles d'individualisation des peines d'accepter qu'une décision produisant des effets juridiques puisse être prise sur le fondement exclusif d'un traitement automatisé de données à caractère personnel.

Afin de donner aux droits à l'information, d'accès, de rectification ou d'effacement toute leur portée, votre commission a adopté deux amendements de son rapporteur visant à fixer à un mois le délai de réponse des responsables de traitement aux demandes d'effacement ou de rectification (amendement COM-32) et a supprimé l'exclusion prévue par l'Assemblée nationale du droit à l'information concernant la possibilité d'un recours juridictionnel (amendement COM-33).

Votre commission a adopté l'article 19 ainsi modifié.

TITRE III BIS - DISPOSITIONS VISANT À FACILITER L'APPLICATION DES RÈGLES RELATIVES À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PAR LES COLLECTIVITÉS TERRITORIALES

Article 19 bis (art. L. 2335-17 [nouveau], L. 3662-4, L. 5211-35-3 [nouveau], L. 5214-23, L. 5215-32 et L. 5216-8 du code général des collectivités territoriales) - Dotation communale et intercommunale pour la protection des données à caractère personnel

Introduit par le Sénat en première lecture, par l'adoption en commission d'un amendement de votre rapporteur, et supprimé par l'Assemblée nationale en nouvelle lecture, l'article 19 bis du projet de loi tend à créer, par prélèvement sur les recettes de l'État, une dotation pour la protection des données à caractère personnel, dont seraient bénéficiaires les communes, les établissements publics de coopération intercommunale (EPCI) à fiscalité propre, ainsi que la métropole de Lyon.

Votre rapporteur ne peut ici que réitérer le constat établi en première lecture : les collectivités territoriales, et tout particulièrement les communes et intercommunalités, ont besoin du soutien de l'État pour se mettre en conformité avec le RGPD, négocié par le Gouvernement au nom de la France. Alors que nombre d'entre elles sont déjà loin d'être en mesure d'appliquer intégralement la législation en vigueur, le RGPD et le projet de loi leur imposent de nouvelles obligations (mesures de sécurisation des traitements, comprenant le cas échéant une analyse d'impact préalable ou la tenue d'un registre des activités, désignation d'un délégué à la protection des données, satisfaction des nouveaux droits reconnus aux personnes physiques...) et les soumettent en même temps à un aléa financier beaucoup plus considérable (sanctions pécuniaires de la CNIL relevées jusqu'à 20 millions d'euros, dommages-intérêts prononcés dans le cadre d'une action de groupe en réparation ou d'une action par mandataire...).

Il ne suffit pas de dire et de répéter que les collectivités bénéficieront d'un accompagnement de la CNIL. Encore faudrait-il lui en donner les moyens. Sa présidente, Mme Isabelle Falque-Pierrotin, vient encore de sonner l'alarme lors de sa présentation du rapport annuel de l'autorité, le 10 avril 2018 : la CNIL ne dispose pas des moyens humains et financiers nécessaires pour assumer sa mission de contrôle et d'accompagnement, renforcée par le RGPD.

Il est vrai que le montant de la dotation créée par cet article devrait être prélevé sur les autres composantes de l'« enveloppe normée » des concours financiers de l'État aux collectivités territoriales. On se heurte ici aux limites du pouvoir d'initiative du Parlement en matière financière. Mais votre commission avait l'espoir de susciter une prise de conscience du Gouvernement, qui a toute latitude, quant à lui, pour créer une dotation, un fonds ou toute forme de subvention non comprise dans l'« enveloppe normée »24(*).

Parce qu'elle ne désespère pas de voir le Gouvernement répondre à cet appel, votre commission a rétabli l'article 19 bis (amendement COM-34 du rapporteur).

Article 19 ter - Mutualisation des moyens des collectivités territoriales

Introduit par le Sénat en première lecture, par l'adoption en commission d'un amendement de votre rapporteur, l'article 19 ter du projet de loi a pour objet de faciliter la mutualisation des moyens des collectivités territoriales et de leurs groupements en matière de données personnelles, au bénéfice notamment des communes et intercommunalités.

· La volonté du Sénat de consolider la base légale des prestations de service au bénéfice du bloc communal

En première lecture, le Sénat avait constaté que le droit en vigueur comprenait certaines rigidités qui freinaient le développement de la mutualisation des « fonctions support » des collectivités territoriales et de leurs groupements, et plus particulièrement des services numériques. Le législateur, entendant favoriser l'intégration du bloc communal, avait encouragé une telle mutualisation entre les établissements publics de coopération intercommunale (EPCI) à fiscalité propre et leurs communes membres, mais limité la possibilité pour ces mêmes communes et EPCI de recourir aux services d'autres collectivités ou établissements publics, par exemple des syndicats mixtes.

Pourtant, les bénéfices de la mutualisation sont unanimement salués : elle permet aux collectivités et à leurs groupements d'exercer efficacement leurs compétences dans un contexte de pénurie budgétaire, sans avoir recours à des prestataires privés - ce qui peut être souhaitable dans certains domaines. En matière de protection des données personnelles, la mutualisation sera indispensable ; le RGPD autorise d'ailleurs plusieurs autorités ou organismes publics à se doter d'un délégué à la protection des données commun.

C'est pourquoi votre commission des lois, à l'initiative de son rapporteur, avait jugé nécessaire d'autoriser par la loi, d'une part, les conventions de prestations de services entre une commune et un syndicat mixte (lorsque de tels services ne sont pas mutualisés au sein de l'intercommunalité), d'autre part, la mise en place de services fonctionnels unifiés entre toutes les catégories de collectivités territoriales et leurs groupements, y compris les communes et EPCI.

Ces dispositions auraient pu être jugées superflues, compte tenu des principes constitutionnels de libre administration et de liberté contractuelle des collectivités territoriales. Toutefois, la loi en vigueur se prête à une lecture a contrario et le Gouvernement, par les arguments qu'il a opposés à cet article en séance publique, a montré qu'il en faisait lui-même une lecture restrictive pour les libertés locales.

· La limitation de la portée de ces dispositions, par l'Assemblée nationale, au domaine des données personnelles

En nouvelle lecture, nos collègues députés ont reconnu l'intérêt des dispositions introduites par le Sénat pour faciliter la mutualisation dans la sphère publique locale. Toutefois, par l'adoption en séance publique d'un amendement de notre collègue Rémy Rebeyrotte et des membres du groupe La République en Marche, sous-amendé par le rapporteur, ils en ont limité la portée aux mutualisations de services liés au traitement de données à caractère personnel.

Tout en regrettant cette méthode qui consiste à légiférer par pointes d'épingle, en s'exposant à une lecture a contrario de dispositions spéciales, votre rapporteur a considéré que le texte adopté par l'Assemblée nationale paraît au plus pressé, en permettant aux communes et intercommunalités d'avoir recours aux services d'autres collectivités et groupements pour assumer les charges et obligations qui leur incombent en tant que responsables de traitements de données à caractère personnel.

Sur sa proposition, votre commission a donc adopté l'article 19 ter sans modification.

TITRE IV - HABILITATION À AMÉLIORER L'INTELLIGIBILITÉ DE LA LÉGISLATION APPLICABLE À LA PROTECTION DES DONNÉES (DIVISION ET INTITULÉ SUPPRIMÉS)

Article 20 - Habilitation à réviser par ordonnance la législation relative à la protection des données personnelles

L'article 20 du projet de loi tend à habiliter le Gouvernement à prendre, dans un délai de six mois, une ordonnance pour procéder à une réécriture de l'ensemble de la loi « Informatique et libertés » afin, notamment, d'améliorer son intelligibilité, de mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données à caractère personnel et d'en prévoir l'application à l'outre-mer.

Regrettant le manque d'anticipation flagrant du Gouvernement, s'agissant d'une directive et d'un règlement dont le contenu était connus dès avril 2016, soit il y a près de deux ans, votre commission avait supprimé en première lecture cet article pour signifier au Gouvernement sa vive désapprobation du procédé et lui laisser le soin, s'il le souhaitait, de venir en séance devant la représentation nationale expliquer les raisons de cette impréparation, rétablir l'habilitation sollicitée et préciser les contours du futur texte résultant de cette ordonnance.

Le Gouvernement s'étant engagé en séance à offrir un cadre juridique lisible, consistant en une simple codification sans rien changer aux décisions du Parlement et à l'informer régulièrement de l'avancement du projet d'ordonnance, le présent article d'habilitation avait été rétabli en séance à la suite de l'adoption d'un amendement du Gouvernement modifié par un sous-amendement de votre rapporteur qui prenait acte de ces engagements donnés au Sénat et encadrait à double titre l'habilitation sollicitée :

- sur le fond, en précisant expressément que l'ordonnance ne pourrait modifier les équilibres auxquels sera parvenu le Parlement ;

- dans le temps, en réduisant à quatre mois le délai pour prendre cette ordonnance.

En nouvelle lecture, suivant l'avis favorable de sa rapporteure, l'Assemblée nationale a adopté un amendement du Gouvernement rétablissant à six mois le délai d'habilitation, « compte tenu de l'ampleur du travail de codification à accomplir et de la complexité légistique de cette entreprise ».

Votre commission a adopté l'article 20 sans modification.

Article 20 bis (supprimé) - (art. L. 242-20 et L. 224-42-1 à L. 224-42-4 du code de la consommation ; art. 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) - Droit à la portabilité des données personnelles et des données non personnelles

Introduit par l'Assemblée nationale en première lecture en séance, et rétabli en nouvelle lecture après sa suppression par le Sénat, l'article 20 bis du projet de loi supprime du droit national les dispositions instaurant un droit à la récupération et à la portabilité en faveur des consommateurs, dont le principe est désormais régi par le RGPD en ce qui concerne la portabilité des données personnelles.

Cette suppression des dispositions instaurant un droit à la récupération et à la portabilité en faveur des consommateurs a, de nouveau, été motivée par le fait que la mise en oeuvre de deux régimes distincts (données personnelles, données non personnelles) pourrait poser des « difficultés d'interprétation » et rendrait complexe le tri à opérer entre les demandes de récupération de données relevant de deux régimes juridiques différents.

Votre rapporteur ne partage toujours pas cette analyse, et note bien au contraire toute l'utilité de conserver également un droit spécifique à la récupération et à la portabilité des données n'ayant pas un caractère personnel.

Comme le soulignait déjà notre collègue Christophe-André Frassa, rapporteur de votre commission lors de l'introduction de ces droits dans la loi pour une République numérique : « Il s'agit moins d'anticiper le droit à la portabilité des données personnelles prévu par le futur règlement européen que d'assurer la régulation d'un secteur économique au bénéfice du consommateur et de la concurrence. [La portabilité des données non personnelles] est une chance de briser le quasi-monopole des grands opérateurs sur la concentration des données des utilisateurs des services en ligne, en permettant à des entreprises innovantes de proposer à ces derniers des services plus adaptés, exploitant directement la masse des données transférées. »

L'Autorité de régulation des communications électroniques et des postes (ARCEP), dans son récent rapport sur la neutralité des terminaux25(*), se réjouit en ces termes des avancées ainsi permises : « Les consommateurs bénéficient désormais d'un droit de récupérer leurs données, puisque les fournisseurs de services de communication au public en ligne ont (conformément à la loi pour une République numérique) une obligation de mettre en place une fonctionnalité permettant à au consommateur de récupérer "l'ensemble de ses données", un périmètre qui inclut des données personnelles, pour lesquelles la CNIL est compétente ,et des données non personnelles, pour lesquelles la DGCCRF est compétente ».

En outre, répondant en février 2017 aux députés rapporteurs de la mission d'information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles, la direction des affaires civiles et du sceau du ministère de la justice leur confirmait que « les données n'ayant pas un caractère personnel visées par [le droit à la portabilité de la loi république numérique] sont les données anonymes au sens du règlement, (...). Ces données étant situées hors du champ d'application du règlement, les deux régimes de portabilité sont compatibles (...) ces deux régimes semblent cohérents. »26(*)

À l'initiative de votre rapporteur, la commission a adopté un amendement COM-35 et supprimé l'article 20 bis

TITRE V - DISPOSITIONS DIVERSES ET FINALES

Article 23 (art. 230-8 et 804 du code de procédure pénale) - Modification du cadre légal des traitements d'antécédents judiciaires

L'article 23 du projet de loi tend à modifier le régime des fichiers relatifs aux antécédents judiciaires afin de le mettre en conformité avec la décision du Conseil constitutionnel n° 2017-670 QPC du 27 octobre 2017.

Dans cette décision, le Conseil constitutionnel a censuré, avec effet différé au 1er mai 2018, le premier alinéa de l'article 230-8 du code de procédure pénale : il a jugé qu'« en privant les personnes mises en cause dans une procédure pénale, autres que celles ayant fait l'objet d'une décision d'acquittement, de relaxe, de non-lieu ou de classement sans suite, de toute possibilité d'obtenir l'effacement de leurs données personnelles inscrites dans le fichier des antécédents judiciaires, les dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée ».

En première lecture, la commission des lois de l'Assemblée nationale, à l'initiative de sa rapporteure, notre collègue députée Mme Paula Forteza, avait allongé d'un à deux mois le délai laissé au magistrat référent, compétent en application de l'article 230-9 du code de procédure pénale, pour statuer sur les demandes d'effacement.

· Les garanties apportées par le Sénat en première lecture

En première lecture, votre commission avait approuvé l'économie générale de l'article 23 du projet de loi. À l'initiative de son rapporteur, elle avait néanmoins effectué plusieurs clarifications et renforcé les droits des personnes concernées par une inscription dans un fichier d'antécédents judiciaires :

- précision sur la recevabilité des demandes formulées par les personnes condamnées : aucune mention « de nature pénale en lien avec la demande » ne devrait figure dans le bulletin n° 2 du casier judiciaire de la personne à l'origine de la demande ;

- refus de l'allongement à deux mois du délai de réponse aux demandes de rectification et d'effacement ;

- affirmation du droit, sauf décision contraire, à l'effacement des données pour les personnes concernées par une décision de non-lieu ou de classement sans suite motivée par une insuffisance de charges ; en effet, ces personnes se trouvent dans la même situation de fait que les personnes relaxées ou acquittées ;

- inscription dans la loi d'une interprétation du Conseil d'État selon laquelle l'effacement est de droit pour les demandes portant sur des données dont la collecte n'est pas autorisée.

Toutes ces garanties avaient été retenues par le Sénat en séance publique.

· Le refus, par l'Assemblée nationale, de toutes les garanties apportées par le Sénat

En nouvelle lecture, la commission des lois de l'Assemblée nationale, sur proposition du Gouvernement, a rétabli le texte qu'elle avait adopté en première lecture, supprimant ainsi tous les apports du Sénat. Contrairement à ce qu'affirme son rapport, elle n'a même pas conservé la précision selon laquelle les demandes formulées par les personnes concernées ne seront recevables que si plus aucune mention « de nature pénale en lien avec la demande » ne figure dans le bulletin n° 2 du casier judiciaire. Il semble pourtant disproportionné d'empêcher la recevabilité d'une demande en raison d'une inscription postérieure sur ledit bulletin, sans aucun lien avec l'inscription à l'origine de la demande.

· La position de votre commission : la volonté d'assurer la constitutionnalité du régime de traitement d'antécédents judiciaires

Afin d'assurer la constitutionnalité de ce type de traitement d'antécédents judiciaires, votre commission a rétabli, à l'initiative de son rapporteur, les modifications aux mécanismes d'effacement anticipé des données qu'elle avait adoptées en première lecture (amendements COM-36, COM-37, COM-38 et COM-39) : au regard de l'ampleur du fichier27(*), votre commission estime ces modifications strictement nécessaires pour assurer la proportionnalité d'une telle atteinte à la vie privée.

Votre commission a adopté l'article 23 ainsi modifié.

Article 24 - Entrée en vigueur

L'article 24 fixe au 25 mai 2018 la date d'entrée en vigueur des principales dispositions de la présente loi.

Par exception, l'obligation de journalisation28(*) prévue pour les traitements de données régis par la directive est reportée au 6 mai 2023 (lorsqu'une telle obligation de journalisation exigerait des efforts disproportionnés) ou au 6 mai 2026 (lorsque, à défaut d'un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé), comme l'autorise ladite directive.

En première lecture, le Sénat, à l'initiative de votre rapporteur, avait souhaité différer de deux ans, jusqu'au 25 mai 2020, l'entrée en vigueur de l'article 16 A, qui étend l'objet de l'action de groupe en matière de données personnelles à la réparation des préjudices matériels et moraux subis.

En nouvelle lecture, l'Assemble nationale a supprimé cette entrée en vigueur différée pour l'action de groupe en réparation de dommages (mais elle a cependant limité cette nouvelle procédure à la réparation des dommages dont le fait générateur serait survenu postérieurement à son entrée en vigueur le 25 mai 2018 ; par cohérence avec sa position en première lecture (voir supra le commentaire de l'article 16 A), votre commission a rétabli le report de deux ans de cette entrée en vigueur (amendement COM-40 du rapporteur).

L'Assemble nationale a également reporté à la prochaine rentrée scolaire 2018-2019 l'entrée en vigueur des dispositions relatives à la transparence des traitements de données scolaires (introduites à l'article 14 bis A), afin de laisser le temps aux établissements publics concernés de se mettre en conformité avec cette nouvelle obligation.

Enfin, à l'initiative du Gouvernement, elle a reporté au 1er juillet 2020 l'entrée en vigueur de la nullité de plein droit des décisions administratives individuelles prises sur le fondement d'un traitement algorithmique, en cas d'omission des mentions prévues à l'article L. 311-3-1 du code des relations entre le public et l'administration. Selon le Gouvernement, ce délai se justifie « à des fins de bonne administration ». Voilà qui est tout de même étonnant : alors que le projet de loi ouvre la voie à l'automatisation complète des décisions administratives individuelles, jusqu'ici prohibée, l'administration se verrait accorder plus de deux ans supplémentaires pour se conformer à une obligation d'information qui, nullité ou pas, lui incombe depuis l'adoption de la loi du 7 octobre 2016 pour une République numérique ?

Le Gouvernement se soucie moins de la bonne administration des collectivités territoriales qu'il soumet sans cesse à de nouvelles obligations sans leur accorder ni moyens, ni délais...

Pour votre rapporteur, l'information des administrés sur l'usage d'algorithmes pour prendre des décisions qui les concernent est une garantie essentielle pour le respect de leurs droits. C'est aussi une condition pour ne pas alimenter la défiance des citoyens vis-à-vis du développement de l'« administration algorithmique ». Sur sa proposition, votre commission a donc rétabli l'applicabilité immédiate de cette disposition (amendement COM-41).

Votre commission a adopté l'article 24 ainsi modifié.

*

* *

Votre commission a adopté le projet de loi ainsi modifié.

EXAMEN EN COMMISSION

___________

MERCREDI 18 AVRIL 2018

M. Philippe Bas, président. - Nous examinons en nouvelle lecture le projet de loi relatif à la protection des données personnelles, après l'échec de la commission mixte paritaire. Cet échec est d'autant plus incompréhensible qu'il s'agit d'un texte dont les principales orientations sont consensuelles, dont l'objet est d'adapter le droit interne au droit européen et sur lequel la marge de manoeuvre du législateur national est étroite...

Mme Sophie Joissains, rapporteur. - Le projet de loi vise effectivement à adapter la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au règlement général sur la protection des données (RGPD), directement applicable à partir du 25 mai 2018 et qui entend favoriser l'émergence d'un modèle européen harmonise' et ambitieux de protection des données a` caractère personnel, tout en favorisant la compétitivité' des entreprises européennes sur la scène internationale, ainsi qu'à la directive relative aux traitements mis en oeuvre en matière policière et judiciaire, qui doit être transposée avant le 6 mai 2018.

Tout en approuvant les grandes orientations du projet de loi initial et la majorité des apports de l'Assemblée nationale, le Sénat s'est attache', en première lecture, a` accompagner les petites structures dans la mise en oeuvre de leurs nouvelles obligations et à renforcer la protection des droits et libertés des citoyens. Il a ainsi tenu à répondre aux attentes et aux vives inquiétudes des petites entreprises et des collectivités territoriales, ignorées par le Gouvernement comme par l'Assemblée nationale, alors qu'elles ne sont pas en mesure d'appliquer la nouvelle réglementation à compter du 25 mai. À cet effet, il a dégagé de nouveaux moyens financiers pour la mise en conformité', en fléchant le produit des amendes et astreintes prononcées par la Commission nationale de l'informatique et des libertés (CNIL) a` leur intention, et en créant une dotation communale et intercommunale pour la protection des données personnelles. Le Sénat a également voulu faciliter la mutualisation des services numériques entre collectivités, réduire l'aléa financier auquel elles sont confrontées en supprimant la faculté' pour la CNIL de leur imposer des amendes administratives et en reportant de deux ans l'entrée en vigueur de l'action de groupe en réparation en matière de données personnelles. Enfin, nous avons souhaité encourager la diffusion d'informations et l'édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités territoriales et des petites entreprises.

Le Sénat a également souhaite' rééquilibrer certains éléments du dispositif pour renforcer la protection des droits et libertés des citoyens. Reprenant des propositions émanant des divers groupes politiques et fidèle a` son rôle de chambre des libertés, il a ainsi rétabli l'obligation d'autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sureté, et précisé les conditions d'extension de la liste des personnes autorisées a` mettre en oeuvre ces fichiers. Il a, en outre, encouragé le recours aux technologies de chiffrement des données personnelles pour assurer leur sécurité et conservé le droit général a` la portabilité' des données pour garantir la concurrence entre services en ligne. Il s'est assuré que les utilisateurs de terminaux électroniques aient le choix d'y installer des applications respectueuses de la vie privée, et il a encadré plus strictement l'usage des algorithmes par l'administration pour prendre des décisions individuelles tout en renforçant les garanties de transparence en la matière.

Examine' selon la procédure accélérée, le projet de loi n'a fait l'objet que d'une seule lecture par chaque chambre avant la réunion d'une commission mixte paritaire. Malgré' deux rencontres préparatoires entre rapporteurs qui avaient permis, a` l'issue de près de trois heures de négociation et au prix de concessions réciproques, de nouer un compromis, nous nous sommes heurtés au refus des députés du groupe majoritaire a` l'Assemblée nationale de transiger avec le Sénat. Dans ces conditions, la commission mixte paritaire du 6 avril dernier a logiquement constate' qu'elle ne pouvait élaborer un texte commun.

Lors de la nouvelle lecture, l'Assemblée nationale a rétabli pour l'essentiel le texte qu'elle avait adopté' en première lecture, sans tenir compte des apports du Sénat. La navette a permis de parvenir, il est vrai, a` quelques accords entre les deux assemblées, mais limités à des sujets techniques - nouvelles garanties dans l'exercice du pouvoir de contrôle et de sanction de la CNIL, application territoriale des marges de manoeuvre, traitements a` des fins archivistiques, obligations des sous-traitants, transferts internationaux de données... Pour le reste, des désaccords importants persistent.

Je ne désespère pas de convaincre les députés de la justesse de nos arguments et vous propose en conséquence de rétablir plusieurs de nos propositions de première lecture. Le refus de prendre en compte les spécificités des collectivités territoriales et les difficultés que va susciter pour elles l'application du RGPD, alors même que le Gouvernement se montrait ouvert à des concessions, est incompréhensible ! Pour la majorité' des députés, une collectivité' est un responsable de traitement comme un autre. Ce n'est évidemment pas notre opinion ! Les collectivités territoriales sont soumises à des sujétions particulières : elles traitent des données personnelles, non pour en tirer profit, mais parce qu'elles y sont obligées par la loi. Comme l'État, elles sont chargées de missions de service public et exercent des prérogatives de puissance publique.

Hélas, ces arguments n'ont pas suffi aux députés, qui ont rétabli la possibilité' pour la CNIL d'imposer aux collectivités territoriales et a` leurs groupements des amendes administratives et des astreintes, dont l'État, lui, continuera d'être exonéré, supprime' l'affectation du produit des amendes prononcées par la CNIL au financement de mesures d'accompagnement destinées a` aider les responsables de traitement a` se mettre en conformité et supprime' la dotation communale et intercommunale pour la protection des données a` caractère personnel. Je vous proposerai logiquement de revenir sur ces trois reculs, en rappelant qu'il ne s'agit nullement pour autant d'exonérer les collectivités territoriales de l'application, au 25 mai, du RGPD.

Seule concession au Sénat, même si nous aurions pu souhaiter une disposition de portée plus générale, les députés ont accepté une proposition de compromis envisagée en amont de la commission mixte paritaire pour faciliter la mutualisation des moyens des collectivités dans le champ des données personnelles.

Sur les traitements en matière pénale, l'Assemblée nationale a accepté' des reculs inquiétants pour les droits et libertés de nos concitoyens en supprimant l'encadrement, protecteur pour la vie privée, de l'open data des décisions de justice, le régime d'autorisation préalable par la CNIL des traitements d'infractions pénales et de condamnations, ainsi que les garanties concernant les personnes morales désormais autorisées à mettre en oeuvre ces traitements. A également été supprimé l'encadrement a` un mois du délai impose' au responsable de traitement pour rectifier ou effacer des données et l'information concernant la possibilité' de former un recours juridictionnel. Enfin, s'agissant du traitement des antécédents judiciaires, aucune des garanties introduites par le Sénat, pourtant très raisonnables, n'a survécu a` la nouvelle lecture a` l'Assemblée nationale... Je vous proposerai donc de les réintroduire, compte tenu de leur importance pour les droits et libertés de nos concitoyens : le Sénat aura ainsi jusqu'au bout tenu son rôle de chambre des libertés !

M. François Pillet. - Très bien !

Mme Sophie Joissains, rapporteur. - S'agissant des algorithmes, je regrette la suppression injustifiée de plusieurs garde-fous et un sérieux recul du principe de transparence que notre commission avait renforcé'. Je souhaite en particulier attirer votre attention sur Parcoursup et dénoncer à cet égard une véritable hypocrisie. À rebours de ses annonces, l'Assemblée nationale a reculé' en séance publique face au Gouvernement et accepté que les établissements d'enseignement supérieur dérogent aux règles de transparence des algorithmes. Il me paraît invraisemblable que les lycéens choisis par les universités au moyen d'algorithmes ne puissent pas savoir quels paramètres leur ont été' appliqués. Les critères de sélection sont donc, par définition, ni vérifiables et ni évaluables. Sur un sujet aussi sensible, fondamental et central dans notre République, l'Assemblée nationale, nonobstant le contexte dans nos universités et la récente délibération de la CNIL, se contente de demander un rapport au Parlement ! Le rôle du législateur étant de fixer des normes, de s'assurer que les principes fondamentaux sont respectés et non de commander des rapports, je vous proposerai, conformément à notre rôle de défenseurs des libertés publiques, de réinscrire dans la loi le principe de transparence vote' par le Sénat en première lecture.

Concernant l'action de groupe, dont nous approuvons le principe y compris pour la réparation des dommages, je vous proposerai de rétablir deux mesures de prudence introduites en première lecture afin d'empêcher d'éventuels abus et de laisser un délai aux petites entreprises et aux collectivités territoriales avant de les exposer a` un tel risque contentieux : le report de deux ans de l'entrée en vigueur de la nouvelle procédure et l'agrément préalable obligatoire des associations.

Je ne m'étends pas sur plusieurs autres divergences - objets connectés, charte de déontologie, chiffrement, amendement sur les moteurs de recherche... Un dernier mot cependant sur l'âge du consentement car le régime protecteur à instaurer pour les enfants et adolescents mérite un vrai débat. Problèmes physiques et parfois psychiques, cyber harcèlement, radicalisation, emprise, pédopornographie : Marie Mercier nous en a dévoilé, lors d'un récent rapport, un aperçu éloquent. La présidente de la commission de la culture, de l'éducation et de la communication, Catherine Morin-Desailly, devrait prochainement publier un rapport sur l'éducation et le numérique posant les termes du débat.

M. Philippe Bas, président. - Merci, madame le rapporteur, pour cet exposé d'une grande clarté.

Mme Marie-Pierre de la Gontrie. - J'étais présente à la commission mixte paritaire du 6 avril et je puis vous dire qu'elle ne fut pas le théâtre d'un rapport de force politique, mais bien d'une confrontation institutionnelle. Le point de vue du Sénat n'y avait ni valeur, ni intérêt... Dans la perspective de la réforme institutionnelle à venir, cet épisode m'apparaît fort inquiétant !

M. Philippe Bas, président. - Le projet de loi constitutionnelle transmis par le Gouvernement au Conseil d'État est effectivement des plus inquiétants s'agissant des prérogatives du Parlement et, singulièrement, du Sénat. L'extension de l'ordre du jour prioritaire, la restriction sans précédent du droit d'amendement déjà sérieusement encadré par la Constitution, ainsi que la révision de la procédure législative après l'échec éventuel de la commission mixte paritaire, selon laquelle l'Assemblée nationale n'aurait jamais à délibérer sur les propositions du Sénat, tout cela donne à réfléchir. Je n'ose croire que l'attitude des députés du groupe majoritaire à la commission mixte paritaire du 6 avril témoigne du fait qu'ils anticipent cette réforme...

M. Jérôme Durain. - Le caractère brutal de cette commission mixte paritaire rappelle combien la révision constitutionnelle annoncée porte en effet le risque d'un affaiblissement des pouvoirs du Parlement et notamment du Sénat. Pour en revenir au projet de loi, je trouve assez piquant que Bercy, dans une vidéo qui circule sur YouTube, se trouve aujourd'hui pris en défaut en matière de protection des données... Le Gouvernement devrait avoir la sagesse de prêter attention à la situation particulière des collectivités territoriales, dont les moyens sont bien loin d'être équivalents à ceux du ministère des finances, dans la mise en oeuvre de la réforme exigée par l'Union européenne. Le groupe socialiste et républicain suivra le rapporteur sur la plupart de ses propositions, se laissant toutefois la liberté de déposer des amendements en séance sur quelques points de désaccord relatifs notamment aux modalités de saisine de la CNIL, à la publicité de l'ordre du jour de la CNIL lorsqu'elle se réunit en formation plénière et aux actions de groupe.

Mme Esther Benbassa. - Je félicite Mme Joissains et lui rends hommage pour son travail très important sur les universités, eu égard au contexte actuel. La loi « Orientation et réussite des étudiants » (ORE) instaurait le secret des délibérations, qui pose question pour les futurs citoyens. Les universités ont reçu un nombre inconsidéré de dossiers qu'elles ne pourront pas traiter. Le secret sur le paramétrage des algorithmes pose problème. Si l'on révélait la façon dont les algorithmes sont paramétrés, on verrait que Parcoursup ne marche pas, car chaque département universitaire paramètre à sa façon... Ce n'est pas seulement injuste mais contraire à la loi pour une République numérique du 7 octobre 2016. Qui peut traiter à lui seul 450 dossiers et lire toutes les lettres de motivation des étudiants ? Je suis heureuse que nous rétablissions la rédaction du Sénat à l'article 14.

M. Jean-Pierre Sueur. - Vous avez évoqué l'avant-projet de loi constitutionnelle soumis au Conseil d'État, mais n'avez pas cité la disposition qui prévoit qu'après une commission mixte paritaire, en dernière lecture, l'Assemblée nationale pourra reprendre des amendements déposés - et non plus seulement adoptés - au Sénat et qui auront reçu l'accord du Gouvernement. Il suffira que le Gouvernement trouve un sénateur ou une sénatrice pour proposer cette insertion dans le texte in fine. Je pense l'avoir compris ainsi... L'heure est vraiment grave. Je doute qu'il existe de nombreux précédents d'une telle situation où les deux rapporteurs, après trois heures de débat, arrivent à un accord, mais où la commission mixte paritaire n'aboutit pas, par volonté de ne pas aboutir. En général les membres de la majorité sont solidaires de leur rapporteur et de l'accord entre les rapporteurs !

S'agissant d'un texte relatif aux libertés, et sur lequel le Sénat a fait des propositions utiles et nécessaires qui ne seront pas reprises, c'est grave et cela présage du pire. C'est une sorte de manifeste d'une volonté d'en faire de même pour de futurs textes... Monsieur le président, vous devriez saisir le président du Sénat pour qu'il évoque cette question au plus haut niveau. Il est étrange qu'on puisse invoquer sans cesse la bienveillance et que sur un texte sur les libertés, on impose une fin de non-recevoir à toute proposition.

Tous les groupes ont participé aux discussions sur le projet de révision constitutionnelle. Nous sommes dans un état d'esprit positif, mais ce que nous observons est très grave. Je souhaite que le président du Sénat soit saisi.

M. Philippe Bas, président. - Bien sûr. Cette démarche a d'ores et déjà été engagée.

M. Yves Détraigne. - Je félicite également le rapporteur. Dès 2009, avec Mme Anne-Marie Escoffier, nous avions publié au sein de cette commission le rapport d'information La vie privée à l'heure des mémoires numériques. Certains éléments nous faisaient un peu peur ; nous y sommes désormais. Il est d'autant plus important de s'occuper de la protection des données personnelles.

Je n'ai pas de remarque particulière sur le fond du rapport mais je m'inquiète du comportement de nos collègues députés. La précédente majorité avait déjà une telle attitude. En commission mixte paritaire, on nous avait opposé une fin de non-recevoir sur le projet de loi de modernisation de la justice du XXIe siècle dont j'étais le rapporteur.

La situation est inquiétante pour nos institutions.

M. Philippe Bas, président. - Votre avis semble unanimement partagé par les membres de notre commission.

M. Jean-Yves Leconte. - Je félicite le rapporteur pour son travail. Nous aurions pu simplement constater nos désaccords et laisser l'Assemblée nationale décider, mais le combat mérite d'être mené jusqu'au bout. La majorité de l'Assemblée est souvent soumise au Gouvernement. Le refus des propositions du Sénat est dû à l'injonction du Gouvernement, qui ne souhaite pas expliquer l'enjeu même du RGPD sur lequel il faut faire de la pédagogie. Ce n'est pas le contrôle a posteriori qui importe, mais d'expliquer que chacun est responsable des données qu'il traite. Les ajouts du Sénat sur le cryptage et sur la transparence absolue des algorithmes sont indispensables.

La CNIL est née il y a 40 ans - tout comme la notion même d'autorité administrative indépendante - pour répondre aux interrogations et protéger les citoyens de la capacité de l'État d'exploiter des informations personnelles et de créer des fichiers. Or, si le projet de loi renforce les pouvoirs de sanction de la CNIL, l'État ne sera pas sanctionnable. On ne peut pas s'en tirer par une pirouette, selon laquelle il est inutile de le sanctionner puisque l'État perçoit l'argent in fine. Il est possible de procéder comme pour le Conseil supérieur de l'audiovisuel (CSA), avec une entité spécifique qui peut percevoir le produit des amendes, y compris lorsqu'elles sont payées par l'État. Sinon, la CNIL ne pourra plus contrôler l'État ni protéger les citoyens. Les collectivités territoriales, elles, ne seraient pas soumises aux mêmes règles... Ayons une véritable deuxième lecture !

M. Patrick Kanner. - Je me félicite de notre soutien collectif lorsque l'essentiel est en jeu ; c'est à l'honneur du Sénat et de nos différentes sensibilités politiques. Je suis très inquiet de la première version du projet de révision constitutionnelle, qui témoigne d'un antiparlementarisme inconnu jusqu'ici durant la Ve République. C'est à croire que nous dérangeons... Il faut respecter le pouvoir législatif.

Madame le rapporteur, nous soutiendrons les mesures de progrès que vous proposez. Nous ferons aussi des propositions importantes et espérons qu'elles seront regardées avec un intérêt particulier pour que la position du Sénat soit la plus unanime possible.

M. Simon Sutour. - Rapporteur de la commission des affaires européennes, je témoigne que ce texte a été élaboré au niveau européen avec un grand sens du compromis, après un long processus. Nous aurions espéré la même chose au niveau national, alors que le Président de la République faisait part hier de ses grandes ambitions pour l'Europe devant le Parlement européen. Cela n'a pas été le cas.

Franchement, Monsieur le président, Madame le rapporteur, vous avez fait preuve de beaucoup de patience. Après une première réunion préparatoire à la commission mixte paritaire où un accord semblait possible et qui n'a pas abouti, vous avez bien voulu prendre part à une nouvelle réunion. En vain. On vous a fait perdre votre temps. Je pense qu'il s'agit d'un désordre organisé... Si l'échec de la commission mixte paritaire était une option cyniquement choisie, ce serait extrêmement grave.

Ce texte porte sur les libertés individuelles, sujet sur lequel l'apport du Sénat est extrêmement important. L'amendement sur les collectivités territoriales, lui aussi, est majeur, d'autant que le texte s'appliquera dès le 25 mai. On nous a répondu que les collectivités, quelle que soit leur taille, étaient comme les entreprises... Mais on leur impose de traiter des données, tandis que les entreprises le choisissent ! Le Gouvernement n'a pas voulu favoriser la recherche d'un consensus. La transposition de la directive et le toilettage de la législation qui s'ensuit seront entachés par cette tare originelle.

M. Philippe Bas, président. - Le président Gérard Larcher a envoyé le 11 avril au président de l'Assemblée nationale un courrier où il fait part de son incompréhension sur l'échec de la commission mixte paritaire.

M. Pierre-Yves Collombat. - Rendons-nous que nous n'obtiendrons rien. Hier, le même scénario s'est produit lors de l'examen de la proposition de loi relative à la mise en oeuvre du transfert aux intercommunalités des compétences « eau » et « assainissement »... Jusqu'à présent, le Sénat faisait le dos rond et se bridait dans ses propositions - même intelligentes - pour ne pas froisser. La loi portant nouvelle organisation territoriale de la République (NOTRe) a montré que cela ne donne pas de résultats satisfaisants et ne sert à rien ! Défendons nos positions de principe sur les libertés et souvenons-nous en lors de la révision constitutionnelle.

M. Philippe Bas, président. - Les deux textes ne sont pas de même nature. Je vous remercie de vos recommandations tactiques et stratégiques, que nous essaierons de mettre en oeuvre le mieux possible...

Le Sénat vote des lois sur lesquelles il peut avoir une certaine distance, voire des désaccords : dans les négociations, il soupèse les gains et les pertes afin de maximiser ses gains. Dans ce bicamérisme inégalitaire, l'esprit constructif du Sénat lui a permis d'obtenir des apports substantiels et de voter ainsi la plupart des textes au cours de la précédente législature. Cela ne nous empêche pas de défendre nos convictions.

Mme Brigitte Lherbier. - Ces propos de nos collègues sont extrêmement rassurants. La protection des libertés est fondamentale ; c'est l'essence même de notre engagement d'élus.

Le tirage au sort doit disparaître de l'entrée à l'université. J'ai cru en Parcoursup, qui me semblait une occasion pour les jeunes de former des voeux de formation, et de trouver carrière et débouchés. J'ai vu tant de jeunes sélectionnés uniquement pour remplir les cours de certains professeurs n'ayant pas assez d'heures sans que personne s'interroge sur les débouchés de ces filières ; cela me faisait énormément de peine. Parcoursup était l'occasion pour que les jeunes s'expriment et reçoivent une formation adaptée à leur choix. L'absence de transparence fait de cette procédure un faux semblant, c'est extrêmement dommage.

M. Éric Kerrouche. - Je remercie le rapporteur pour son travail et sa pugnacité. Tous les gouvernements ont eu la tentation d'abuser de leur force. Mais il y a, cette fois-ci, une différence de nature et non de degré. C'est un véritable mépris du Parlement qui s'exprime. Les propositions provoquant l'ire des parlementaires semblent se succéder de façon programmée. La révision constitutionnelle annoncée remet en cause l'équilibre parlementaire et démocratique des institutions.

Pour en revenir au projet de loi, il est important que les algorithmes soient transparents : ils ne tombent pas du ciel, mais reflètent les préférences sociales de ceux qui les définissent. Si on ne les connaît pas, on ne comprend pas les fondements de la décision.

Par ailleurs, le Gouvernement et les députés font preuve d'une incompréhension totale de la spécificité des collectivités territoriales. Eu égard au nombre de fichiers dans les services des collectivités, imposer les mêmes règles aux collectivités qu'aux entreprises, c'est ne pas comprendre le fonctionnement du système local, voire le mépriser. À nous de corriger cela.

M. Philippe Bas, président. - J'espère que votre point de vue sera entendu.

M. François Pillet. - J'évoquerai deux très vives inquiétudes : d'abord, nous sommes en train de sentir ce qui peut arriver au fonctionnement du Parlement ; les présidents Bas et Sueur ont été très clairs.

Je suis abasourdi par l'indifférence des députés du groupe majoritaire à l'égard de la protection des libertés fondamentales. Le Sénat est depuis toujours la sentinelle de ces libertés, quels que soient les gouvernements. Quand mon groupe appartenait à la majorité gouvernementale, il a refusé au Gouvernement la mise en place du « fichier des gens honnêtes ». Ce fichier a finalement été inscrit dans la loi par la voie d'un amendement du Gouvernement, mais censuré par le Conseil constitutionnel. J'appelle nos collègues qui se rattachent de près ou de loin à la majorité gouvernementale à s'en souvenir, et à agir d'abord comme sénateurs, en défendant les libertés et en se montrant solidaires de notre rapporteur. J'ai été très heureux de sa fermeté, de ses remarquables démonstrations, de la clarté de son exposé qui nous permettent d'être unanimes.

Mme Sophie Joissains, rapporteur. - Après l'immense inquiétude et la déception de la commission mixte paritaire. Votre soutien unanime me fait chaud au coeur. Nous sommes de taille à défendre ensemble notre institution.

Marie-Pierre de la Gontrie a raison : nous sommes dans un rapport de force institutionnel, même s'il y a aussi un rapport de force politique interne à l'Assemblée nationale.

Nous examinerons demain les amendements relatifs à la CNIL. Celle-ci ne souhaite pas un élargissement de ses modes de saisine car elle fait déjà l'objet de nombreuses saisines informelles. Elle ne pourrait pas assumer plus de procédures. La publication de son ordre du jour relève du règlement et non de la loi. Concernant l'action de groupe, nous avons souhaité un agrément préalable des associations pour unifier un régime, mais je suis prête à regarder cela de plus près.

Avec Parcoursup, il n'y aura bien souvent aucune délibération sur le choix des candidats, car il est impossible d'examiner des centaines voire des milliers de dossiers. D'ailleurs, le secret des délibérations s'impose lorsqu'un jury évalue la prestation personnelle d'un candidat, par exemple à l'ENA, pas lors de l'examen d'un dossier. La juridiction administrative annule des décisions de refus d'admission en master lorsqu'elles ne sont pas motivées.

Nous pouvons craindre que ce refus d'aboutir en commission mixte paritaire ne se généralise, comme c'était le cas pour le projet de loi de modernisation de la justice du XXIe siècle ou, la semaine dernière, pour le projet de loi pour un État au service d'une société de confiance et le projet de loi relatif à la protection des données personnelles. Nous sommes devant le mur de l'Assemblée, et devons tous être vigilants face à cette opposition de principe. Il est dommage de constater ces problèmes institutionnels au niveau national, alors que la France a beaucoup influencé la rédaction du RGPD. Je remercie le président Larcher de son courrier dès le 11 avril.

EXAMEN DES ARTICLES

M. Philippe Bas, président. - La plupart des amendements rétablissent le texte déjà adopté par le Sénat.

Article 1er

Les amendements COM-5, COM-6, COM-7 et COM-8 sont adoptés.

Article 2 bis

L'amendement COM-9 est adopté.

Article 6

M. Philippe Bas, président. - L'amendement COM-10 aborde un sujet important.

Mme Sophie Joissains, rapporteur. - Il rétablit l'exemption, au bénéfice des collectivités territoriales, des amendes ou des astreintes de la CNIL.

L'amendement COM-10 est adopté ainsi que l'amendement COM-11.

Article 6 bis (supprimé)

L'amendement COM-12 est adopté et l'article 6 bis est rétabli.

Article 10 bis (supprimé)

L'amendement COM-13 est adopté et l'article 10 bis est rétabli.

Article 11

L'amendement COM-14 est adopté.

Mme Sophie Joissains, rapporteur. - L'amendement COM-15 est de compromis.

L'amendement COM-15 est adopté ainsi que les amendements COM-16 et COM-17.

Mme Sophie Joissains, rapporteur. - Après en avoir délibéré et avoir adopté cette décision à l'unanimité, les avocats nous ont demandé que leur nom apparaisse dans les décisions de justice publiées en open data. On ne fait pas le bonheur des gens malgré eux.

L'amendement COM-18 est adopté.

Article 13

Mme Sophie Joissains, rapporteur. - L'amendement COM-19 rétablit la rédaction du Sénat sur les données personnelles de santé.

M. Philippe Bas, président. - Mme Delmont-Koropoulis y attachait beaucoup d'importance.

L'amendement COM-19 est adopté.

Article 14 A

Mme Sophie Joissains, rapporteur. - L'amendement COM-20 supprime l'article 14 A et maintient à 16 ans au lieu de 15 l'âge du consentement autonome d'un mineur. Tant que nous n'avons pas débattu sur les risques et le régime complémentaire pouvant accompagner les mineurs, nous devons être prudents.

L'amendement de suppression COM-20 est adopté.

Article 14

L'amendement de précision COM-21 est adopté.

M. Philippe Bas, président. - L'automatisation des décisions individuelles prises par l'administration ne saurait être autorisée que sous des conditions strictes.

Mme Sophie Joissains, rapporteur. - En effet, seules les décisions n'appelant aucun pouvoir d'appréciation doivent pouvoir être prises sur le fondement exclusif d'un algorithme.

L'amendement COM-22 rectifié est adopté.

L'amendement COM-2 n'a plus d'objet.

Mme Sophie Joissains, rapporteur. - L'amendement COM-23 tend à supprimer l'alinéa du code de l'éducation qui fait déroger Parcoursup aux règles de transparence.

M. Philippe Bas, président. - Vous prenez soin de préciser dans l'objet écrit de l'amendement que vous ne faites, en cela, que vous conformer « aux engagements du Président de la République ». Nous essaierons d'obtenir un avis favorable du Gouvernement !

L'amendement COM-23 est adopté.

Article 14 bis

L'amendement de coordination COM-24 est adopté.

Article 16 A

L'amendement COM-25 est adopté ainsi que l'amendement COM-26.

Article 16

L'amendement de coordination COM-27 est adopté.

Article 17 bis

M. Philippe Bas, président. - L'amendement COM-1 a pour objet de corriger l'article 17 bis dont la rédaction actuelle fait paradoxalement obstacle à son propre objectif.

Mme Sophie Joissains, rapporteur. - L'Assemblée nationale a introduit des exemples plus précis des pratiques contractuelles prohibées, pour mieux cibler les services et les terminaux de communications électroniques. Selon elle, peut constituer un tel obstacle au consentement de l'utilisateur le fait de limiter son choix au moyen de certaines configurations ou installations par défaut. La formulation choisie ménage cependant de larges exceptions peu contraignantes, puisqu'il suffit au responsable de traitement d'avancer une « justification d'ordre technique, économique ou de sécurité » que les grands acteurs du marché ne manqueront pas de mettre en avant pour faire obstacle à l'application effective de ce nouveau principe. Pour éviter cet écueil, notre collègue Alain Marc propose de restreindre le champ de ces exceptions, en prévoyant que les responsables de traitement ne puissent désormais se prévaloir que d'un « motif légitime d'ordre technique ou de sécurité ». Avis favorable.

L'amendement COM-1 est adopté.

Article 17 ter (supprimé)

L'amendement COM-28 est adopté et l'article 17 ter est rétabli.

Article 19

L'amendement COM-29 est adopté ainsi que les amendements COM-30 et COM-31.

Mme Maryse Carrère. - Nous avions défendu en première lecture les amendements COM-3 et COM-4 sur les sous-traitants.

Mme Sophie Joissains, rapporteur. - Avis favorable à ces deux amendements.

Les amendements COM-3 et COM-4 sont adoptés.

Mme Sophie Joissains, rapporteur. - Comme en première lecture, l'amendement COM-32 encadre à un mois le délai de réponse aux demandes d'effacement ou de rectification.

M. Philippe Bas, président. - Le Sénat défend les libertés publiques !

L'amendement COM-32 est adopté ainsi que l'amendement COM-33.

Article 19 bis (supprimé)

L'amendement COM-34 est adopté et l'article 19 bis est rétabli.

Article 20 bis

Mme Sophie Joissains, rapporteur. - M. Frassa a su nous convaincre sur la portabilité des données non personnelles.

M. Christophe-André Frassa. - Il faut maintenir la position du Sénat.

L'amendement de suppression COM-35 est adopté.

Article 23

Les amendements COM-36, COM-37, COM-38 et COM-39 sont adoptés.

Article 24

Les amendements COM-40 et COM-41 sont adoptés.

M. Philippe Bas, président. -.

Le projet de loi est adopté dans la rédaction issue des travaux de la commission.

M. Philippe Bas, président. - Bravo à Mme le rapporteur pour cette adhésion unanime. Le Sénat fera valoir ses vues dans l'hémicycle !

Le sort des amendements examinés par la commission est retracé dans le tableau suivant :

Auteur

Objet

Sort de l'amendement

Article 1er
Missions et outils de la Commission nationale de l'informatique et des libertés

Mme JOISSAINS, rapporteur

5

Labellisation facultative par la CNIL des objets connectés

Adopté

Mme JOISSAINS, rapporteur

6

Établissement par la CNIL d'une liste des traitements entrant dans le champ de la directive et susceptibles de créer un risque élevé

Adopté

Mme JOISSAINS, rapporteur

7

Consultation de la CNIL par les présidents des assemblées parlementaires sur une proposition de loi

Adopté

Mme JOISSAINS, rapporteur

8

Possibilité de consultation de la CNIL pour avis sur certaines dispositions d'une proposition de loi

Adopté

Article 2 bis
Délégation de certaines missions au secrétaire général
et publicité de l'ordre du jour des réunions plénières de la CNIL

Mme JOISSAINS, rapporteur

9

Suppression de la mention, réglementaire, prévoyant de rendre public l'ordre du jour des réunions plénières de la CNIL

Adopté

Article 6
Mesures correctrices et sanctions

Mme JOISSAINS, rapporteur

10

Suppression des amendes administratives et des astreintes pour les collectivités territoriales et leurs groupements

Adopté

Mme JOISSAINS, rapporteur

11

Affectation du produit des sanctions pécuniaires et des astreintes prononcées par la CNIL au financement d'actions d'aide à la mise en conformité avec la nouvelle réglementation

Adopté

Article 6 bis (Supprimé)
Charte de déontologie pour les délégués à la protection
des données des administrations publiques

Mme JOISSAINS, rapporteur

12

Rétablissement de cet article relatif à l'élaboration d'une charte déontologique pour les délégués à la protection des données dans les administrations publiques

Adopté

Article 10 bis (Supprimé)
Incitation au chiffrement pour remplir l'obligation de sécurité
à laquelle sont tenus les responsables de traitement de données personnelles

Mme JOISSAINS, rapporteur

13

Rétablissement de cet article prévoyant une incitation au chiffrement "de bout en bout" des données personnelles

Adopté

Article 11
Traitements de données relatives aux condamnations pénales,
aux infractions ou mesures de sûreté

Mme JOISSAINS, rapporteur

14

Adaptation stricte de la loi Informatique et libertés aux exigences de l'article 10 du RGPD

Adopté

Mme JOISSAINS, rapporteur

15

Encadrement de la possibilité pour les personnes morales de droit privé de mettre en oeuvre des fichiers en matière pénale

Adopté

Mme JOISSAINS, rapporteur

16

Modalités d'application du régime des fichiers d'infractions pénales

Adopté

Mme JOISSAINS, rapporteur

17

Maintien du régime actuel d'autorisation préalable par la CNIL des fichiers d'infractions pénales non mis en oeuvre par l'État

Adopté

Mme JOISSAINS, rapporteur

18

Encadrement de l'open data des décisions de justice

Adopté

Article 13
Données de santé

Mme JOISSAINS, rapporteur

19

Interdiction de l'utilisation des données personnelles de santé par les régimes complémentaires d'assurance maladie pour la détermination des choix thérapeutiques ou la sélection des risques

Adopté

Article 14 A
Âge du consentement autonome des mineurs au traitement
de leurs données par certains services en ligne

Mme JOISSAINS, rapporteur

20

Suppression de l'article et maintien à 16 ans de l'âge pour le consentement autonome d'un mineur dans le cadre d'une offre directe de services de la société de l'information

Adopté

Article 14
Décisions prises sur le fondement d'algorithmes

Mme JOISSAINS, rapporteur

21

Information des personnes à l'égard de qui auront été prises des décisions entièrement automatisées dans la sphère privée

Adopté

Mme JOISSAINS, rapporteur

22 rect.

Restriction du champ des décisions administratives individuelles susceptibles d'être entièrement automatisées - Nullité de plein droit des décisions non assorties de la mention prévue à l'article L. 311-3-1 du code des relations entre le public et l'administration

Adopté

Mme Maryse CARRÈRE

2

Nullité des décisions administratives individuelles en cas d'omission de la mention prévue à l'article L. 311-3-1 du code des relations entre le public et l'administration - Publication systématique des règles définitoires et des principales caractéristiques de mise en oeuvre des algorithmes

Satisfait ou sans objet

Mme JOISSAINS, rapporteur

23

Transparence des algorithmes utilisés dans le cadre de « Parcoursup »

Adopté

Article 14 bis
Information des mineurs de moins de 15 ans

Mme JOISSAINS, rapporteur

24

Coordination (avec la suppression de l'article 14 A)

Adopté

Article 16 A
Action de groupe en réparation

Mme JOISSAINS, rapporteur

25

Date des faits générateurs des dommages susceptibles d'être réparés dans le cadre d'une action de groupe en réparation

Adopté

Mme JOISSAINS, rapporteur

26

Agrément préalable des associations habilitées à introduire une action de groupe

Adopté

Article 16
Recours par mandataire

Mme JOISSAINS, rapporteur

27

Dispense d'agrément pour les associations mandatées pour agir

Adopté

Article 17 bis
Nullité de certaines clauses contractuelles

M. Alain MARC

1

Limitation des exceptions dont peuvent se prévaloir les responsables de traitement pour démontrer que les contrats conclus concernant des équipements ou services internet ne portent pas atteinte au consentement de l'utilisateur

Adopté

Article 17 ter (Supprimé)
Prohibition de l'exploitation abusive d'une position dominante sur le marché des services
de communication au public en ligne en subordonnant la vente d'un terminal à l'achat d'un service

Mme JOISSAINS, rapporteur

28

Rétablissement de cet article relatif à l'interdiction des abus de position dominante ayant pour effet d'imposer au consommateur d'acheter des matériels dotés d'applications et services préinstallés du fait de la position dominante des éditeurs de ces applications et services vis-à-vis des fabricants

Adopté

Article 19
Traitements de données à caractère personnel en matière pénale

Mme JOISSAINS, rapporteur

29

Maintien de l'autorisation préalable de la CNIL pour les fichiers en matière pénale non mis en oeuvre par l'État

Adopté

Mme JOISSAINS, rapporteur

30

Transformation des obligations de moyens en obligations de résultats

Adopté

Mme JOISSAINS, rapporteur

31

Encadrement des décisions fondées exclusivement sur un traitement automatisé de données

Adopté

Mme Maryse CARRÈRE

3

Informations relatives aux sous-traitants

Adopté

Mme Maryse CARRÈRE

4

Transparence des informations concernant la sous-traitance

Adopté

Mme JOISSAINS, rapporteur

32

Encadrement des délais de réponse aux demandes d'effacement ou de rectification

Adopté

Mme JOISSAINS, rapporteur

33

Droit à l'information concernant les recours juridictionnels

Adopté

Article 19 bis (Supprimé)
Dotation communale et intercommunale
pour la protection des données à caractère personnel

Mme JOISSAINS, rapporteur

34

Rétablissement de cet article instituant une dotation communale et intercommunale pour la protection des données à caractère personnel

Adopté

Article 20 bis
Droit à la portabilité des données personnelles
et des données non personnelles

Mme JOISSAINS, rapporteur

35

Suppression de cet article afin de maintenir le droit à la portabilité des données non-personnelles

Adopté

Article 23
Modification du cadre légal des traitements d'antécédents judiciaires

Mme JOISSAINS, rapporteur

36

Effacement de droit des données illégalement collectées

Adopté

Mme JOISSAINS, rapporteur

37

Délai de réponse aux demandes de rectification ou d'effacement

Adopté

Mme JOISSAINS, rapporteur

38

Amendement de précision

Adopté

Mme JOISSAINS, rapporteur

39

Droits des personnes bénéficiant d'un non-lieu

Adopté

Article 24
Entrée en vigueur

Mme JOISSAINS, rapporteur

40

Report de deux ans de l'entrée en vigueur de l'action de groupe en matière de données personnelles

Adopté

Mme JOISSAINS, rapporteur

41

Applicabilité immédiate de la nullité de plein droit des décisions non assorties de la mention prévue à l'article L. 311-3-1 du code des relations entre le public et l'administration

Adopté

AMENDEMENTS ADOPTÉS PAR LA COMMISSION

ARTICLE 1ER

Amendement n° COM-5 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 14

Rétablir cet alinéa dans la rédaction suivante :

« f ter) Elle peut décider de certifier, dans des conditions définies par décret pris après avis de l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense, les objets connectés commercialisés à destination des consommateurs, aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi, qu'ils garantissent la possibilité de désactiver la collecte des données de l'utilisateur et qu'ils répondent à des exigences élevées en matière de sécurité ; »

Amendement n° COM-6 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 18

Remplacer les mots :

peut établir

par le mot :

établit

Amendement n° COM-7 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 20

Remplacer les mots :

, par le Président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire 

par les mots :

ou par le Président du Sénat 

Amendement n° COM-8 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 20

Après les mots :

sur toute

insérer les mots :

disposition d'une

ARTICLE 2 BIS

Amendement n° COM-9 présenté par

Mme JOISSAINS, rapporteur 

Alinéas 2 et 3

Supprimer ces alinéas.

ARTICLE 6

Amendement n° COM-10 présenté par

Mme JOISSAINS, rapporteur 

Alinéas 16, 21 (première phrase) et 30

Après les mots :

par l'État

insérer les mots :

, par une collectivité territoriale ou par un groupement de collectivités territoriales

Amendement n° COM-11 présenté par

Mme JOISSAINS, rapporteur 

Après l'alinéa 43

Insérer un alinéa ainsi rédigé :

« Leur produit est destiné à financer l'assistance apportée par l'État aux responsables de traitement et à leurs sous-traitants, afin qu'ils se conforment aux obligations qui leur incombent en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi. » ;

ARTICLE 6 BIS (SUPPRIMÉ)

Amendement n° COM-12 présenté par

Mme JOISSAINS, rapporteur 

Rétablir cet article dans la rédaction suivante :

La Commission nationale de l'informatique et des libertés établit une charte énonçant les principes déontologiques et les bonnes pratiques propres à l'exercice des fonctions de délégué à la protection des données dans les administrations publiques.

ARTICLE 10 BIS (SUPPRIMÉ)

Amendement n° COM-13 présenté par

Mme JOISSAINS, rapporteur 

Rétablir cet article dans la rédaction suivante :

Le premier alinéa de l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par une phrase ainsi rédigée : « En particulier, et dans toute la mesure du possible, les données sont chiffrées de sorte à n'être accessibles qu'au moyen d'une clef mise à la seule disposition des personnes autorisées à accéder à ces données. »

ARTICLE 11

Amendement n° COM-14 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 3

Remplacer les mots :

effectués que sous le contrôle de l'autorité publique ou

par les mots :

mis en oeuvre, sous le contrôle de l'autorité publique, que

Amendement n° COM-15 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 4

Remplacer les mots :

et appartenant à des catégories dont la liste est fixée

par les mots :

agréées à cette fin dans les conditions fixées

Amendement n° COM-16 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 6

 Compléter cet alinéa par deux phrases ainsi rédigées  :

Un décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, fixe les modalités d'application du présent 3°. Il précise, selon la catégorie des données, les durées maximales de conservation des informations enregistrées, les catégories de personnes autorisées à être destinataires de tels traitements et les conditions de cette transmission ;

Amendement n° COM-17 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 9

Rétablir le 5° dans la rédaction suivante :

5° Il est ajouté un II ainsi rédigé :

« II. - Les traitements de données à caractère personnel relatives aux infractions, aux condamnations et aux mesures de sûreté, à l'exclusion de ceux qui sont mentionnés aux articles 26 et 27, ne sont mis en oeuvre qu'après autorisation de la Commission nationale de l'informatique et des libertés, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées.

« Les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

« La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée. »

Amendement n° COM-18 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 10

Rétablir les II et III dans la rédaction suivante :

II. - Le deuxième alinéa de l'article L. 111-13 du code de l'organisation judiciaire est ainsi rédigé :

« Les modalités de cette mise à disposition préviennent tout risque de ré-identification des magistrats, des greffiers, des parties et des agents de la police nationale ou de la gendarmerie nationale cités dans les décisions, ainsi que tout risque, direct ou indirect, d'atteinte à la liberté d'appréciation des magistrats et à l'impartialité des juridictions. »

III. - Le troisième alinéa de l'article L. 10 du code de justice administrative est ainsi rédigé :

« Les modalités de cette mise à disposition préviennent tout risque de ré-identification des juges, des parties, ainsi que tout risque, direct ou indirect, d'atteinte à la liberté d'appréciation des juges et à l'impartialité des juridictions. »

ARTICLE 13

Amendement n° COM-19 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 9

Compléter cet alinéa par les mots :

ne devant en aucun cas avoir pour fin la détermination des choix thérapeutiques et médicaux et la sélection des risques

ARTICLE 14 A

Amendement n° COM-20 présenté par

Mme JOISSAINS, rapporteur 

Supprimer cet article.

ARTICLE 14

Amendement n° COM-21 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 4

1° Après les mots :

à condition

insérer les mots :

que l'intéressé en soit informé par le responsable de traitement et

2° Après les mots : 

mise en oeuvre

rédiger ainsi la fin de cet alinéa :

lui soient communiquées à sa demande, sous réserve des secrets protégés par la loi ;

Amendement n° COM-22 rect. présenté par

Mme JOISSAINS, rapporteur 

I. - Alinéa 5

Rédiger ainsi cet alinéa :

« 2° Des décisions administratives individuelles fondées sur un traitement automatisé de données à caractère personnel dont l'objet est d'appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement que ledit traitement, à condition que celui-ci ne porte pas sur des données mentionnées au I de l'article 8 de la présente loi et que l'intéressé puisse exprimer son point de vue et contester la décision ; 

II. - Alinéa 8

Rétablir le II dans la rédaction suivante : 

II. - Au premier alinéa de l'article L. 311-3-1 du code des relations entre le public et l'administration, après le mot : « comporte », sont insérés les mots : « , à peine de nullité, ».

Amendement n° COM-23 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 9

Rédiger ainsi cet alinéa :

III. - Le dernier alinéa du I de l'article L. 612-3 du code de l'éducation est supprimé.

ARTICLE 14 BIS

Amendement n° COM-24 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 2

Remplacer le mot :

quinze

par le mot :

seize

ARTICLE 16 A

Amendement n° COM-25 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 6

Remplacer la date :

24 mai 2018

par la date :

24 mai 2020

Amendement n° COM-26 présenté par

Mme JOISSAINS, rapporteur 

I. - Alinéa 7

Rétablir le 2° dans la rédaction suivante :

2° Le IV est ainsi modifié :

II. - Alinéa 8

Remplacer cet alinéa par quatre alinéas ainsi rédigés :

a) Le 1° est complété par les mots : « et agréées par l'autorité administrative » ;

b) Il est ajouté un alinéa ainsi rédigé :

« L'agrément prévu au 1° est notamment subordonné à l'activité effective et publique de l'association en vue de la protection de la vie privée et de la protection des données à caractère personnel, à la transparence de sa gestion, à sa représentativité et à son indépendance. Les conditions d'agrément et du retrait de l'agrément sont déterminées par décret en Conseil d'État. » ;

3° Il est ajouté un V ainsi rédigé :

III. - Alinéa 9

Rédiger ainsi le début de cet alinéa : 

« V.- Lorsque l'action...

ARTICLE 16

Amendement n° COM-27 présenté par

Mme JOISSAINS, rapporteur 

Compléter cet article par un alinéa ainsi rédigé :

« L'agrément prévu au 1° du IV de l'article 43 ter n'est pas requis pour qu'une association mentionnée au même 1° puisse recevoir mandat en application du premier alinéa du présent article. »

ARTICLE 17 BIS

Amendement n° COM-1 présenté par

MM.  Alain MARC et MALHURET

Alinéa 2

Remplacer les mots :

indûment, sans justification d'ordre technique, économique ou de sécurité,

par les mots

sans motif légitime d'ordre technique ou de sécurité

ARTICLE 17 TER (SUPPRIMÉ)

Amendement n° COM-28 présenté par

Mme JOISSAINS, rapporteur 

Rétablir cet article dans la rédaction suivante :

Le livre IV du code de commerce est ainsi modifié :

1° Après l'article L. 420-2-2, il est inséré un article L. 420-2-3 ainsi rédigé :

« Art. L. 420-2-3. - Est prohibée, lorsqu'elle tend à limiter l'accès au marché ou le libre exercice de la concurrence par d'autres entreprises, l'exploitation abusive par une entreprise ou un groupe d'entreprises d'une position dominante sur un marché de services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d'un tel équipement à l'achat concomitant d'un tel service. » ;

2° À la fin de l'article L. 420-3 et au premier alinéa du III de l'article L. 420-4, la référence : « et L. 420-2-2 » est remplacée par les références : « , L. 420-2-2 et L. 420-2-3 » ;

3° Au premier alinéa de l'article L. 450-5, à la première phrase du premier alinéa de l'article L. 462-3, aux I, II et IV de l'article L. 462-5, à la première phrase du premier alinéa de l'article L. 462-6, à la seconde phrase du premier alinéa du I de l'article L. 464-2 et au premier alinéa de l'article L. 464-9, la référence : « L. 420-2-2 » est remplacée par la référence : « L. 420-2-3 ».

ARTICLE 19

Amendement n° COM-29 présenté par

Mme JOISSAINS, rapporteur 

Après l'alinéa 11

Insérer un alinéa ainsi rédigé :

« Tout autre traitement mis en oeuvre par une autorité compétente pour au moins l'une des finalités prévues au premier alinéa de l'article 70-1 est autorisé par la Commission nationale de l'informatique et des libertés. La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prorogé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée.

Amendement n° COM-30 présenté par

Mme JOISSAINS, rapporteur 

I. - Alinéas 24 et 31 (seconde phrase)

Supprimer les mots :

, dans la mesure du possible,

II. - Alinéa 34

Supprimer les mots : 

dans la mesure du possible et

Amendement n° COM-31 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 26

Remplacer les mots : 

destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée

par les mots : 

à caractère personnel

Amendement n° COM-3 présenté par

Mme Maryse CARRÈRE

Alinéa 61

Compléter cet alinéa par les mots :

et de ses sous-traitants

Amendement n° COM-4 présenté par

Mme Maryse CARRÈRE

Alinéa 61

Compléter cet alinéa par une phrase ainsi rédigée :

Les stipulations du contrat de sous-traitance relatives à la protection des données personnelles sont communiquées à l'intéressé s'il en fait la demande.

Amendement n° COM-32 présenté par

Mme JOISSAINS, rapporteur 

Alinéas 80 et 82

Après les mots :

meilleurs délais

insérer les mots :

, et au bout d'un mois maximum,

Amendement n° COM-33 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 103

I. - Première phrase

Compléter cette phrase par les mots :

et de former un recours juridictionnel

II. - En conséquence, seconde phrase

Supprimer cette phrase.

ARTICLE 19 BIS (SUPPRIMÉ)

Amendement n° COM-34 présenté par

Mme JOISSAINS, rapporteur 

Rétablir cet article dans la rédaction suivante :

I. - Le code général des collectivités territoriales est ainsi modifié :

1° Le chapitre V du titre III du livre III de la deuxième partie est complété par une section 7 ainsi rédigée :

« Section 7

« Dotation pour la protection des données à caractère personnel

« Art. L. 2335-17. - À compter de l'exercice 2019, les communes reçoivent une dotation spéciale, prélevée sur les recettes de l'État, au titre des charges qu'elles supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

« Cette dotation, déterminée en fonction de la population des communes, est égale :

« - à 5 € par habitant compris entre le 1er et le 999e habitant ;

« - à 2 € par habitant compris entre le 1000e et le 4 999e habitant ;

« - à 1 € par habitant compris entre le 5 000e et le 9 999e habitant ;

« - à 0,1 € par habitant compris entre le 10 000e et le 99 999e habitant ;

« - à 0,01 € par habitant au-delà du 100 000e habitant.

« Pour l'application du présent article, la population à prendre en compte est celle définie à l'article L. 2334-2 du présent code. » ;

2° Le I de l'article L. 3662-4 est complété par un 6° ainsi rédigé :

« 6° De la dotation prévue à l'article L. 5211-35-3 du présent code. » ;

3° Le livre II de la cinquième partie est ainsi modifié :

a) La sous-section 2 de la section 6 du chapitre Ier du titre Ier est complétée par un article L. 5211-35-3 ainsi rédigé :

« Art. L. 5211-35-3. - À compter de l'exercice 2019, les établissements publics de coopération intercommunale à fiscalité propre reçoivent une dotation spéciale, prélevée sur les recettes de l'État, au titre des charges qu'ils supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

« Cette dotation, déterminée en fonction de la population totale des communes membres de ces établissements publics, est égale :

« - à 1 € par habitant compris entre le 1er et le 14 999e habitant ;

« - à 0,5 € par habitant compris entre le 15 000e et le 49 999e habitant ;

« - à 0,1 € par habitant compris entre le 50 000e et le 99 999e habitant ;

« - à 0,01 € par habitant au-delà du 100 000e habitant.

« Pour l'application du présent article, la population à prendre en compte est celle définie à l'article L. 2334-2 du présent code. » ;

b) Après le 9° de l'article L. 5214-23, il est inséré un 9° bis ainsi rédigé :

« 9° bis La dotation prévue à l'article L. 5211-35-3 du présent code ; »

c) Le 14° de l'article L. 5215-32 est ainsi rétabli :

« 14° La dotation prévue à l'article L. 5211-35-3 du présent code ; »

d) Après le 9° de l'article L. 5216-8, il est inséré un 9° bis ainsi rédigé :

« 9° bis La dotation prévue à l'article L. 5211-35-3 ; ».

II. - La perte de recettes résultant pour l'État du I du présent article est compensée, à due concurrence, par le relèvement du taux de la taxe mentionnée à l'article 302 bis KH du code général des impôts.

ARTICLE 20 BIS

Amendement n° COM-35 présenté par

Mme JOISSAINS, rapporteur 

Supprimer cet article.

ARTICLE 23

Amendement n° COM-36 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 2, après la deuxième phrase

Insérer une phrase ainsi rédigée :

L'effacement est de droit lorsque la demande concerne des données qui ne répondent pas aux conditions définies par l'article 230-7.

Amendement n° COM-37 présenté par

Mme JOISSAINS, rapporteur 

I. - Alinéa 2, troisième phrase

Remplacer les mots :

de deux

par le mot :

d'un

II. - Alinéa 6

Supprimer cet alinéa.

Amendement n° COM-38 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 2, cinquième phrase

Après les mots :

de nature pénale

insérer les mots :

en lien avec la demande d'effacement

Amendement n° COM-39 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 2, huitième phrase

Rédiger ainsi cette phrase :

En cas de décision de non-lieu ou de classement sans suite fondée sur l'absence de caractérisation de l'infraction ou une insuffisance de charges, les données personnelles concernant les personnes mises en cause sont effacées sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l'objet d'une mention.

ARTICLE 24

Amendement n° COM-40 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 2

Après le mot : 

Toutefois,

insérer les mots :

l'article 16 A entre en vigueur le 25 mai 2020 et

Amendement n° COM-41 présenté par

Mme JOISSAINS, rapporteur 

Alinéa 6

Supprimer cet alinéa.


* 1 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* 2 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

* 3 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.

* 4 « Les États membres prévoient que l'autorité de contrôle peut établir une liste des opérations de traitement devant faire l'objet d'une consultation préalable ».

* 5 L'article 32 du règlement général sur la protection des données prévoit, en matière de sécurité des traitements, que « compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». La pseudonymisation et le chiffrement des données à caractère personnel figurent expressément parmi les techniques citées par cet article.

* 6 Le régime d'autorisation préalable de tels traitements est actuellement en vigueur en application du 3° du I de l'article 25 de la loi n° 78-17 du 6 janvier 1978.

* 7 Sur ce point, voir le projet de loi « data protection bill » en date du 23 mars 2018 :

https://services.parliament.uk/Bills/2017-19/dataprotection.html.

* 8 Voir l'article 10-2 du code de procédure pénale.

* 9 Décision n° 2004-499 DC du 29 juillet 2004, loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* 10 Pour de plus amples développements sur les inquiétudes suscitées par l'open data des décisions de justice, votre rapporteur renvoie au rapport suivant :

Rapport n° 33 (2017-2018) de MM. Jacques Bigot et François-Noël Buffet, fait au nom de la commission des lois, déposé le 18 octobre 2017, sur la proposition de loi n° 641 (2016-2017) d'orientation et de programmation pour le redressement de la justice :

http://www.senat.fr/rap/l17-033/l17-033.html.

* 11 Le criblage consiste à croiser l'identité de personnes avec les données contenues dans plusieurs traitements, par exemple le fichier des personnes recherchées ou le fichier des antécédents judiciaires.

* 12 Aux termes de l'article 8, §1, du RGPD : « Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant. »

* 13 À savoir la mention du fait que la décision a été prise sur un tel fondement, la mention de la finalité du traitement, ainsi que la mention de la communicabilité des règles et caractéristiques de mise en oeuvre de l'algorithme et des modalités de cette communication.

* 14 Votre rapporteur s'était ralliée, par prudence, à cette proposition. Néanmoins, force est de relever une contradiction dans les arguments du Gouvernement. M. Mounir Mahjoubi, secrétaire d'État, avait indiqué en séance publique que les algorithmes utilisés par les services d'enquête, y compris les services fiscaux, devaient rester de simples outils d'aide à la décision. Pourtant, la rédaction de l'article 14 ouvre toute latitude à ces services pour automatiser entièrement leurs décisions ! Le cas des services fiscaux est explicitement mentionné dans l'étude d'impact du projet de loi, où il est même indiqué que le Gouvernement attend de l'automatisation des enquêtes et contrôles un impact positif sur les finances publiques...

* 15 Pour mémoire, les règles de transparence ainsi écartées consistent, d'une part, à apposer les mentions susmentionnées sur le texte des décisions prises sur le fondement de traitements algorithmiques et à communiquer à l'intéressé, à sa demande, les règles et principales caractéristiques de mise en oeuvre de ces traitements (article L. 311-3-1 du code des relations entre le public et l'administration), d'autre part, à publier en ligne les règles définissant ces traitements, lorsque les administrations concernées emploient plus de cinquante agents (article L. 311-1-3 du même code).

* 16 I de l'article L. 612-3 du code de l'éducation.

* 17 Conformément à une jurisprudence ancienne et toujours confirmée, les décisions des jurys d'examen et de concours n'ont pas à être motivées, car le juge administratif leur reconnaît un pouvoir souverain d'appréciation des mérites des candidats (CE, 11 août 1869, Dampierre, Lebon p. 791). Néanmoins, contrairement à un examen ou à un concours (sauf concours sur titres), les équipes pédagogiques ne sont pas appelées à évaluer les prestations des candidats lors d'une ou plusieurs épreuves : elles se prononcent, pour l'essentiel, d'après les notes obtenues au cours de la scolarité et au baccalauréat. En outre, contrairement à un jury, une équipe pédagogique n'est pas soustraite à toute autorité hiérarchique, et le classement qu'elle établit est susceptible d'être réformé par le ministère pour tenir compte des autres critères imposés par la loi (pourcentage minimal de boursiers, pourcentage maximal de candidats hors académie, etc.).

* 18 Voir l'article D. 612-36-2 du code de l'éducation.

* 19 En l'état du droit, tous les algorithmes utilisés par l'administration sont censés n'être que des outils d'aide à la décision, du moins en ce qu'aucune décision individuelle ne peut être exclusivement fondée sur un traitement algorithmique.

* 20 Certes, les dossiers comprendront, outre les notes des candidats au lycée et au baccalauréat, des éléments qui ne seront pas d'emblée quantifiés, comme un « projet de formation motivé », sorte de lettre de motivation à laquelle l'équipe pédagogique devra elle-même attribuer une note. Mais tous les témoignages concordent pour dire que les équipes n'auront pas les moyens de lire l'ensemble de ces « projets » et qu'elles devront donc leur attribuer une note par défaut. Sur le fonctionnement de « Parcoursup », on consultera avec profit le site de l'Observatoire de la sélection universitaire ( https://obs-selection.rogueesr.fr/).

* 21 L'article R. 311-3-1-2 du code des relations entre le public et l'administration dispose, en effet, que doivent être communiquées à l'intéressé, à sa demande, les informations suivantes : 1° le degré et le mode de contribution du traitement algorithmique à la prise de décision ; 2° les données traitées et leurs sources ; 3° les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l'intéressé ; 4° les opérations effectuées par le traitement.

* 22 Délibération n° 2018-119 du 22 mars 2018 portant avis sur un projet d'arrêté autorisant la mise en oeuvre d'un traitement de données à caractère personnel dénommé Parcoursup. Par la suite, la direction de la conformité de la CNIL a fait savoir que chaque établissement devrait « expliquer comment est configuré [l']algorithme, quels sont ses paramètres, quelles sont ses pondérations, quel score a obtenu tel individu à un moment T du processus algorithmique » (dépêche AEF du 10 avril 2018, consultable à l'adresse suivante : http://www.aef.info/depeche/b46f9527-63c6-4c9b-bb13-8d27c10cdef8/121260/d4ad29beb08e616d3afbb2a7718372da/2018-04-10/98/Q).

* 23 Discours du Président de la République « AI for humanity », 28 mars 2018. La transcription de ce discours est consultable à l'adresse suivante : http://www.elysee.fr/declarations/article/transcription-du-discours-du-president-de-la-republique-emmanuel-macron-sur-l-intelligence-artificielle/.

* 24 Pour mémoire, l'article 40 de la Constitution interdit à un parlementaire de proposer la création ou l'aggravation d'une charge publique. En revanche, un prélèvement sur recettes est considéré comme une perte de recettes, qu'un parlementaire peut proposer moyennant un « gage » du même montant. Toutefois, la loi organique n° 2001-692 du 1er août 2001 relative aux lois de finances (LOLF) interdit tout autre prélèvement sur recettes que ceux qui sont destinés aux collectivités territoriales et à l'Union européenne. En outre, l'article 16 de la loi n° 2018-32 du 22 janvier 2018 de programmation des finances publiques pour les années 2018 à 2022 plafonne l'évolution de l'« enveloppe normée » des concours financiers de l'État aux collectivités territoriales, définie comme l'ensemble constitué 1° des prélèvements sur les recettes de l'État au profit des collectivités, 2° des crédits de la mission budgétaire « Relations avec les collectivités territoriales » et 3° de la part du produit de la taxe sur la valeur ajoutée affectée aux régions. Il en résulte que le solde net des concours financiers de l'État aux collectivités territoriales ne peut augmenter qu'à l'initiative du Gouvernement, soit par le rehaussement du plafond de l'« enveloppe normée », soit par la hausse des crédits de la mission « Relations avec les collectivités territoriales », soit par la création d'une dotation budgétaire non comprise dans cette mission.

* 25 ARCEP, Smartphones, tablettes, assistants vocaux : les terminaux, maillon faible de l'internet ouvert (15 février 2018) :

https://www.arcep.fr/uploads/tx_gspublication/rapport-terminaux-fev2018.pdf.

* 26 Rapport d'information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française, présenté par Mme Anne-Yvonne Le Dain et M. Philippe Gosselin : http://www.assemblee-nationale.fr/14/rap-info/i4544.asp

* 27 Au 31 décembre 2017, 14 396 267 personnes étaient enregistrées dans TAJ en tant que mises en causes et 45 028 933 en tant que victimes.

* 28 Obligation fixée à l'article 25 de la directive et transposé par l'article 70-15 de la loi Informatique et libertés dans sa rédaction résultant de l'article 19 du présent projet de loi.