PRÉSIDENCE DE M. Adrien Gouteyron
vice-président
M. le président. La séance est reprise.
4
DÉPÔT D'UN RAPPORT en application D'une Loi
M. le président. M. le président a reçu de Mme la présidente de la commission de la sécurité des consommateurs le rapport d'activité 2003 de cette commission, établi en application de l'article L. 2245 du code de la consommation.
Acte est donné du dépôt de ce rapport.
5
Protection des personnes physiques à l'égard des traitements de données
Suite de la discussion et adoption définitive d'un projet de loi en deuxième lecture
M. le président. Nous reprenons la discussion en deuxième lecture du projet de loi, adopté avec modifications par l'Assemblée nationale en deuxième lecture, relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Dans la discussion des articles, nous avons commencé ce matin l'examen de l'article 2 dont je rappelle les termes.
Article 2 (suite)
Le chapitre II de la loi no 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« CHAPITRE II
« Conditions de licéité des traitements de données à caractère personnel
« Section 1
« Dispositions générales
« Art. 6. - Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
« 1° Les données sont collectées et traitées de manière loyale et licite ;
« 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;
« 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
« 4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;
« 5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
« Art. 7. - Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes :
« 1° Le respect d'une obligation légale incombant au responsable du traitement ;
« 2° La sauvegarde de la vie de la personne concernée ;
« 3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;
« 4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
« 5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.
« Section 2
« Dispositions propres à certaines catégories de données
« Art. 8. - I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.
« II. - Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont pas soumis à l'interdiction prévue au I :
« 1° A Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction visée au I ne peut être levée par le consentement de la personne concernée ;
« 1° Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;
« 2° Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical :
« - pour les seules données mentionnées au I correspondant à l'objet de ladite association ou dudit organisme ;
« - sous réserve qu'ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;
« - et qu'ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément ;
« 3° Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;
« 4° Les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ;
« 5° Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ;
« 5° bis Les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels dans le respect de la loi no 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l'information statistique et dans les conditions prévues à l'article 25 de la présente loi ;
« 6° Les traitements nécessaires à la recherche dans le domaine de la santé selon les modalités prévues au chapitre IX.
« II bis. - Si les données à caractère personnel visées au I sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, celle-ci peut autoriser, compte tenu de leur finalité, certaines catégories de traitements selon les modalités prévues à l'article 25. Les dispositions des chapitres IX et X ne sont pas applicables.
« III. - De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés dans les conditions prévues au I de l'article 25 ou au II de l'article 26.
« Art. 9. - Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :
« 1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
« 2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;
« 3° Les personnes morales victimes d'infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi, dans les conditions prévues par la loi ;
« 4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits.
« Art. 10. - Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
« Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.
« Ne sont pas regardées comme prises sur le seul fondement d'un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l'exécution d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée. »
M. le président. L'amendement n° 16, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Compléter in fine le dernier alinéa (5°) du texte proposé par cet article pour l'article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, par les mots :
, sans préjudice des cas dans lesquels la loi prévoit une durée de conservation spécifique.
La parole est à M. Charles Gautier.
M. Charles Gautier. Il existe un principe général de compatibilité entre la conservation des données et la finalité en vertu de laquelle elles ont été collectées. Toutefois, la CNIL a observé que, de plus en plus, des responsables de traitements invoquent telle ou telle disposition légale pour prétendre conserver, à l'insu des intéressés, des données personnelles sous leur forme nominative au-delà de ce que justifie la finalité du traitement. Par exemple, indique la CNIL, ont pu être invoquées tour à tour la prescription trentenaire ou la prescription décennale prévues par le code civil, les dispositions du code de commerce, les règles applicables en matière de comptabilité.
Dans ces conditions, on peut s'interroger sur la manière dont peuvent être respectées certaines garanties inscrites dans le projet de loi, tel le droit à l'oubli.
Il conviendrait, par conséquent, de mieux encadrer la rédaction actuelle. C'est pourquoi nous proposons de prévoir que, si des dérogations existent, celles-ci doivent être explicitement visées par la loi, comme cela est précisé au 2° du texte proposé pour l'article 6 de la loi de 1978 s'agissant du traitement ultérieur à des fins exclusives de recherches scientifiques, statistiques ou historiques.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale. Cet avis est défavorable, monsieur le président.
Il s'agit d'un principe général. Bien entendu, la loi peut toujours fixer une durée de conservation spécifique. Il nous paraît donc inutile de le rappeler dans ce texte.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. L'amendement n° 1, présenté par M. Bret et les membres du groupe Communiste Républicain et Citoyen, est ainsi libellé :
Compléter le texte proposé par cet article pour l'article 6 de la loi n° 7817 du 6 janvier 1978 par un alinéa ainsi rédigé :
« ... ° Pour les données visées au I de l'article 8, lorsqu'elles sont traitées pour faire l'objet d'une interconnexion, celle-ci doit être réalisée par des tierces parties de confiance, n'ayant aucun intérêt à ladite connexion. Les conditions d'application du présent alinéa sont fixées par décret en Conseil d'Etat après avis de la commission. »
La parole est à M. Robert Bret.
M. Robert Bret. Je ne sais si cet amendement sera considéré par M. le rapporteur comme trop général ou trop précis. (Sourires sur les travées du groupe CRC.) En tout cas, il reprend un amendement que notre groupe avait défendu en première lecture, mais qui n'avait pas été retenu, bien que M. le rapporteur eût jugé qu'il soulevait des questions qui méritaient d'être soulevées.
Il s'agit de tenir compte de la très forte valeur informationnelle susceptible d'être produite par une interconnexion de fichiers : si un fichier peut, à soi seul, être relativement anodin et ne pas porter atteinte aux droits de la personne, lorsqu'il est croisé avec un autre fichier, les informations qu'il renferme risquent de revêtir un sens nouveau et de fournir des renseignements d'une toute autre dimension sur une personne.
Les principes posés au 2° de l'article 6 de la loi de 1978, qui interdit une utilisation des données recueillies pour des finalités différentes - commerciales, par exemple - de celles qui ont été initialement spécifiées ne peuvent effectivement être respectés que si de telles interconnexions sont réalisées dans certaines conditions.
C'est pourquoi nous proposons qu'une interconnexion ne soit réalisée que par des tiers n'ayant aucun intérêt à ladite connexion.
Cette condition sera particulièrement décisive dans le domaine de données dites « sensibles », celles qui font référence aux origines raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses, ou à l'appartenance syndicale, ou encore celles qui sont relatives à la santé ou à la vie sexuelle de la personne.
On sait, par exemple, que des discussions sont en cours chez les assureurs sur la transmission des données de santé.
Vous m'avez dit ce matin en commission, monsieur le rapporteur, que la CNIL avait tout pouvoir pour préconiser cet encadrement. Mais, dès lors qu'il n'y a pas d'opposition de fond, n'est-il pas préférable d'inscrire ce principe dans la loi de 1978 ? Si cette loi avait prévu un encadrement strict de ces interconnexions, ce n'est plus le cas du présent texte, notamment en ce qui concerne les connexions privées.
Le système du tiers désintéressé que nous proposons pour éviter tout écueil né de ces croisements de données peut sembler lourd, mais il est seul susceptible d'offrir des garanties suffisantes, et c'est à ce prix que l'on pourra éviter les abus. Au demeurant, un tel système fonctionne depuis plusieurs années en Australie.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. La commission est défavorable à cet amendement.
Vous l'avez dit vous-même, monsieur Bret, c'est un système extrêmement lourd que vous proposez. Certes, comme je l'avais reconnu en première lecture, l'idée peut paraître judicieuse, mais nous estimons qu'il est préférable de raisonner au cas par cas.
La CNIL nous paraît bien armée pour effectuer ce travail : c'est bien à elle qu'il revient d'analyser chaque cas et de déterminer s'il faut recourir ou non à ce mécanisme du tiers de confiance. Nous ne croyons pas utile de le prévoir systématiquement de façon rigide. Faisons donc confiance à la CNIL.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Nous pensons que le contrôle préalable de la CNIL apporte une garantie suffisante : avis défavorable.
M. le président. La parole est à M. Robert Bret, pour explication de vote.
M. Robert Bret. Il s'agit de savoir quel est notre degré d'exigence quant au respect des libertés.
Les exemples évoqués par la CNIL dans son rapport de cette année montrent combien il convient d'être vigilant face à des intérêts de nature commerciale, notamment. J'ai parlé ce matin des spams.
Il me semble qu'on ouvre là un espace qui peut se révéler dangereux au regard du respect des libertés. C'est pourquoi nous considérons que l'adoption de notre amendement est indispensable si l'on souhaite réellement apporter des garanties.
Mais il est vrai, monsieur le rapporteur, que vous voulez un vote conforme. D'où la difficulté devant laquelle vous vous trouvez !
M. le président. L'amendement n° 17, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Au premier alinéa du texte proposé par cet article pour l'article 7 de la loi n° 78-17 du 6 janvier 1978, après le mot :
concernée
insérer les mots :
de manière indubitable
La parole est à M. Charles Gautier.
M. Charles Gautier. Cet amendement porte sur la nature du consentement de la personne concernée par un traitement.
La CNIL a observé, surtout au cours des dernières années, que de nombreux responsables de traitements recouraient à une pratique consistant à recueillir le consentement des personnes par le biais de formules générales, peu explicites et sous le couvert d'alléchantes offres de rabais.
Pour contrer de telles pratiques, nous proposons de renforcer la rédaction qui figure actuellement dans le texte en nous inspirant des termes mêmes de la directive, laquelle précise dans son article 7 que le traitement de données à caractère personnel ne peut être effectué que si la personne concernée a « de manière indubitable » donné son consentement.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. C'est strictement un problème de vocabulaire qui est ici posé.
Il est vrai que la directive retient le terme « indubitable ». Toutefois, autant nous ne devons jamais nous écarter de la directive s'agissant des principes et du cadre juridique, autant il nous appartient de l'adapter à notre propre langage juridique : c'est en cela que réside le travail d'harmonisation. Or, en droit français, le mot « indubitable » n'a strictement aucun sens, aucun contenu.
J'ajoute que la CNIL a, sur la nature du consentement et le vocabulaire y afférent, une doctrine parfaitement claire et une jurisprudence constante. Nous parlons de « consentement exprès » : chacun sait ce que cela veut dire. Nous savons même ce qu'est un « consentement éclairé » ! En revanche, la notion de « consentement indubitable » nous est totalement étrangère. Au demeurant, elle n'ajouterait rien, car nos sommes dotés de tous les éléments de vocabulaire nécessaires.
Par conséquent, la commission émet un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. L'amendement n° 18, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Au quatrième alinéa (3°) du texte proposé par cet article pour l'article 7 de la loi n° 78-17 du 6 janvier 1978, remplacer les mots :
est investi le responsable ou le destinataire du traitement
par les mots :
est seule investie soit une administration publique, soit une personne morale de droit public
La parole est à M. Charles Gautier.
M. Charles Gautier. Le texte proposé pour l'article 7 de la loi de 1978 pose le principe selon lequel un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée.
Toutefois, sont énumérées dans le même article différentes exceptions à l'exigence du consentement des personnes, et notamment celle qui vise les traitements nécessaires à l'exécution d'une mission de service public dont est investi soit le responsable, soit le destinataire du traitement.
Seraient ainsi visés les cas dans lesquels les fichiers de police ou de justice sont traités directement par des personnes investies d'une mission de ce type. Mais seraient également concernés des fichiers sous-traités à des personnes privées, voire à des officines de sécurité privée qui ne présentent pas, faute de statut, des garanties minimales.
Sur ce point, le considérant 32 de la directive précise qu'« il appartient aux législations nationales de déterminer si le responsable du traitement investi d'une telle mission doit être une administration publique ou une autre personne soumise au droit public ou au droit privé telle qu'une association professionnelle ».
Comme on le voit, la directive nous laisse une marge de manoeuvre. Son harmonisation avec notre propre législation ne doit pas conduire à affaiblir la protection.
Nous considérons donc qu'il convient de limiter aux seules administrations et personnes morales de droit public le champ d'application de cette dérogation, en vertu de la liberté de choix accordée à chaque Etat membre.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Cet amendement porte sur une question qui a déjà été débattue par les deux chambres, lesquelles ont abouti au même résultat, et ne mérite pas d'être reprise.
Vous avez évoqué, bizarrement, des « officines de sécurité privée ». Je ne sais pas à quoi vous faites allusion. Je sais simplement que - vieille tradition française - des missions de service public sont effectivement confiées à des personnes morales de droit privé. Je ne vois donc pas l'intérêt de restreindre le champ d'application de ce texte.
Mais il convient surtout d'en revenir à l'esprit de la loi, qui vise à substituer un critère matériel à un critère organique, à opérer une distinction qui ne repose plus sur la notion public-privé et au contraire, en s'adaptant à une réalité nouvelle, à retenir comme critère la dangerosité du mécanisme en cause.
De ce fait, je ne vois pas la raison qui pourrait justifier de revenir à cette « vieille » distinction, qui a encore tout son intérêt en droit français, entre personne morale de droit public et personne morale de droit privé. D'autant que, comme je viens de le rappeler, une personne morale de droit privé peut très bien assurer une mission de service public.
Telles sont les raisons pour lesquelles j'émets un avis défavorable sur cet amendement.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Partageant les propos qui viennent d'être tenus, j'émets bien sûr un avis défavorable.
M. le président. L'amendement n° 19, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Dans le dernier alinéa (5°) du texte proposé par cet article pour l'article 7 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, après les mots :
la réalisation de l'intérêt
insérer les mots :
déterminé, adéquate et
La parole est à M. Charles Gautier.
M. Charles Gautier. Dès la première lecture, nous avions été alertés par les observations du rapporteur de la commission des lois qui avait considéré que la dérogation à l'exigence de consentement visée au 5° de cet article laissait une grande marge de manoeuvre au responsable du traitement de données automatisées appartenant au secteur privé, ce dernier n'étant tenu qu'au respect de l'équilibre entre ses intérêts légitimes et les libertés fondamentales des personnes concernées. Bien plus encore, le rapporteur en était arrivé à la conclusion qu'une telle dérogation aboutissait à fragiliser substantiellement la portée du principe du consentement de la personne.
A son tour, le rapporteur de la commission des lois de l'Assemblée nationale a déclaré, en deuxième lecture, souscrire pleinement à l'analyse du rapporteur du Sénat et a fait part, tout particulièrement, de sa préoccupation au regard des risques de contentieux pour les entreprises qu'induit le caractère général et imprécis de cette dérogation.
Face à de tels avertissements unanimes, si l'on ne peut proposer la suppression de cette disposition qui reprend fidèlement les termes du paragraphe f de la directive, il serait en revanche souhaitable de l'encadrer sérieusement. C'est la raison pour laquelle il est proposé de compléter les caractéristiques de l'intérêt légitime poursuivi par le responsable du traitement en s'assurant que cet intérêt est également déterminé et adéquat.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Je ferai une remarque analogue à celle que j'ai faite précédemment : nous sommes sur le terrain du vocabulaire. Si nous pouvons comprendre les préoccupations qui vous animent, ce n'est pas par cet ajout que nous allons régler la question. Je vous le dis très honnêtement, il ne changerait rien à la protection.
Ce qui me préoccupe surtout, s'agissant des trois amendements que vous venez de présenter, c'est la réticence voire la méfiance qu'ils traduisent à l'égard de la CNIL - il y a très peu de temps que je la préside, elle conserve donc encore une certaine valeur ! (Sourires sur les travées du groupe socialiste et du groupe CRC.) Laissez-lui le temps de correspondre à ce que vous imaginez !
En réalité, il faut faire confiance à la CNIL et il lui revient de faire ce travail d'appréciation de l'intérêt légitime. Ce n'est pas parce que nous ajouterons deux qualificatifs que la CNIL sera mieux armée pour le faire. Elle a une très bonne connaissance, et ce depuis longtemps, du contenu de ce concept. Pourquoi le changer dès lors que la jurisprudence fonctionne bien ?
Donc, faites encore un peu confiance à la CNIL !
M. Charles Gautier. Et à son président ! (Sourires.)
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Nous gardons une entière confiance en la CNIL et, en conséquence, nous émettons un avis défavorable.
Mme Nicole Borvo. Cela vole au ras des pâquerettes !
M. le président. Je suis saisi de deux amendements identiques.
L'amendement n° 2 est présenté par M. Bret et les membres du groupe Communiste Républicain et Citoyen.
L'amendement n° 20 est présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée.
Ces deux amendements sont ainsi libellés :
Après les mots
ou qui sont relatives
rédiger comme suit la fin du I du texte proposé par cet article pour l'article 8 de la loi n° 7817 du 6 janvier 1978 :
aux caractéristiques génétiques des personnes, à leurs éléments biométriques, à leur santé, à leur vie sexuelle ou à l'intimité de leur vie privée, dans les composantes psychiques et sociales
La parole est à M. Robert Bret, pour défendre l'amendement n° 2.
M. Robert Bret. Cet amendement a pour objet d'élargir le champ d'application des traitements de données dites « sensibles », qui doivent faire l'objet d'un consentement exprès de la personne. En l'état actuel du texte, cette protection renforcée s'applique aux traitements mettant en jeu les opinions politiques, syndicales, religieuses ou philosophiques de la personne, son origine, sa santé ou sa vie sexuelle.
Pour notre part, nous réitérons le souhait de voir compris dans cette liste les données génétiques et biométriques, d'une part, et les éléments relatifs à la vie de la personne, d'autre part, quand ils sont d'ordre psychique ou social.
S'agissant des données génétiques, je me permets de rappeler que, dans le cadre de l'examen du projet de loi relatif à la bioéthique, la commission des affaires sociales de notre assemblée avait réaffirmé son attachement au principe de non-discrimination en raison des caractéristiques génétiques, soulignant les dangers du recueil de ce type de données. Ainsi, le rapport de la commission rappelle la problématique des « kits génétiques » et des dérives pouvant potentiellement apparaître dans le domaine de l'emploi ou de l'assurance.
C'est dire combien ces données, qui permettent l'identification de la personne, doivent faire l'objet d'une attention soutenue du législateur.
J'appuierai cet amendement en rappelant qu'il va dans le sens à la fois des préconisations du rapport Braibant et, plus généralement encore, de la Déclaration universelle sur le génome humain.
On tente de plus en plus fréquemment, on le sait, de recourir à des éléments d'identification biométrique dans les domaines les plus variés de la vie courante : l'exemple des cantines scolaires est de ce point de vue particulièrement éloquent. Dans les cas où la CNIL a été amenée à intervenir, il lui a fallu rappeler la nécessité de préserver des détournements de finalité et de proportionnalité - n'est-ce pas, monsieur Türk ?
S'agissant des données psychiques et sociales, enfin, dont le caractère subjectif ne fait nul doute, nous ne pouvons que constater la forte tendance au recueil de données de cet ordre dans le cadre de l'action sociale et médicosociale. Alors que les différents projets tendant à la prévention de la délinquance semblent s'orienter vers une diminution du secret professionnel dans ce domaine, il paraît particulièrement opportun de rappeler, dans le présent texte, qu'il s'agit bien de données sensibles, soumises ipso facto à un régime de déclaration renforcé, avec l'accord exprès de la personne pour la collecte de telles données.
Tel est le sens de cet amendement, qui me semble frappé au coin du bon sens, que nous vous proposons d'adopter.
M. le président. La parole est à M. Charles Gautier, pour présenter l'amendement n° 20.
M. Charles Gautier. Si nous avons déposé des amendements identiques, c'est aussi pour souligner que nous en sommes parvenus à un point crucial du texte au regard de l'analyse différente que nous lui portons, analyse que j'ai tenté de vous exposer ce matin.
En effet, la définition des données sensibles mérite une attention toute particulière. Si nous avons déjà eu ce débat en première lecture, il est impérieux d'y revenir. Le Sénat doit reconsidérer sa position.
Nous vous proposons de compléter la liste des données sensibles devant bénéficier d'une protection maximale en y ajoutant les données génétiques, les caractéristiques biométriques et les éléments qui se rapportent à l'intimité de la vie des personnes dans ses composantes psychiques et sociales.
Les données génétiques sont des données spécifiques. Elles fournissent, ou sont susceptibles de fournir dans l'avenir, une information scientifique, médicale et personnelle pertinente tout au long de la vie d'un individu. Tant du fait de leur nature que du contexte de leur collecte, ces données doivent figurer au titre des données sensibles.
Or, dans le projet de loi que nous examinons, les données génétiques ne sont pas explicitement citées au titre des données sensibles. Le présent article ne cite que les données de santé. Pour trouver cette référence, il faut attendre l'article 25, qui énumère la liste des traitements soumis à un régime d'autorisation préalable.
Je vous le dis clairement, nous ne comprenons pas pourquoi la législation sur la protection des données ne désignerait pas en tant que telles les données génétiques alors que, dans d'autres législations sectorielles, la spécificité des données génétiques justifie une protection juridique particulière, par exemple dans les secteurs de la protection sociale, des assurances ou du travail.
Il faut donc faire preuve de cohérence, y compris, d'abord, dans le texte que nous examinons, puisque celui-ci prévoit, à l'article 25 de la loi de 1978, un régime d'autorisation spécifique pour cette catégorie de données.
Ensuite, le président de la CNIL ne peut refuser ce que la CNIL elle-même propose au niveau international lorsqu'elle est consultée par l'UNESCO dans le cadre de la rédaction d'une déclaration sur les données génétiques qui se situe dans le prolongement de la Déclaration universelle sur le génome humain et les droits de l'homme du 11 novembre 1997.
Les éléments biométriques permettent la mesure et la reconnaissance d'une personne, donc son identification, et soulèvent des problèmes comparables aux caractéristiques génétiques, sachant qu'elles touchent à l'identité même de la personne.
Bien sûr, nous acceptons l'idée selon laquelle l'utilisation de la biométrie apparaît comme un élément utile aux autorités publiques de l'Etat, s'agissant de la nécessité de savoir si tel individu est bien celui qu'il prétend être ou s'il est habilité à entreprendre un certain nombre d'actions de notre vie sociale en général.
Mais cela doit se faire conformément à un cadre législatif qui présente des garanties et évite, autant que possible, les risques de dérives. Nous pensons que l'utilisation des données biométriques aux fins de contrôle doit bénéficier des mêmes garanties de protection maximale que les données sensibles.
Enfin, les données relatives à l'intimité de la vie privée dans ses composantes psychiques et sociales doivent être considérées comme des données sensibles.
La CNIL a eu l'occasion de se prononcer sur ce type de données et les a caractérisées ainsi car elles font de plus en plus couramment l'objet de traitement dans le cadre de l'informatisation de l'action sociale ; des appréciations sont portées sur les comportements des personnes et l'on constate, à cette occasion, qu'elles touchent à l'identité et à l'intimité des personnes concernées, et qu'elles ne sont pas exemptes de subjectivité.
Pour toutes ces raisons, nous vous demandons d'adopter au moins cet amendement-là !
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Je tiens tout d'abord à rappeler aux auteurs de ces amendements que nous partageons leur préoccupation en matière de biométrie. Au cours de la discussion générale, j'ai insisté sur le fait que la biométrie était probablement l'un des quatre ou cinq enjeux principaux de la CNIL pour les années à venir. Je partage donc totalement votre préoccupation.
Néanmoins, le problème qui nous est posé est d'ordre purement juridique : il s'agit de savoir comment nous allons organiser cette protection. Or je constate qu'il n'est pas nécessaire de recourir à la proposition que vous nous faites pour y parvenir.
S'agissant de l'intimité de la vie privée, la question est traitée à l'article 8 et bénéficie de la protection puisque la vie sexuelle et la santé y sont évoquées. Nous pouvons superposer ces deux notions. Nous avons d'ailleurs déjà longuement débattu de ce point en première lecture.
Par ailleurs, les composantes psychiques et sociales sont des notions beaucoup trop vagues pour avoir un quelconque contenu juridique signifiant dans notre droit.
Enfin et surtout, s'agissant des données génétiques et biométriques, je rappelle que nous sommes dans le champ de l'article 25 ; elles sont donc soumises à autorisation et figurent dans l'un des domaines juridiques les plus protégés de l'ensemble du système de protection des données personnelles.
Par conséquent, j'ai le sentiment que nous parvenons au même objectif, mais en utilisant l'ensemble de la construction qui a été retenue dans ce texte et validée par les deux chambres du Parlement. Il ne me semble pas nécessaire d'en rajouter, si je puis dire. C'est pourquoi j'émets un avis défavorable sur ces deux amendements identiques.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. La teneur de cet amendement ne figurait pas dans le projet de l'ancienne majorité, et pour cause ! Cet amendement a pour objet d'ajouter de nouvelles catégories de données sensibles à une liste limitative de la directive.
Je suis décidément défavorable à cet amendement qui, s'il était adopté, pourrait, d'une part, conduire à une erreur de transposition et, d'autre part, exposer la France à une procédure communautaire.
M. le président. Je mets aux voix les amendements identiques nos 2 et 20.
(Les amendements ne sont pas adoptés.)
M. le président. L'amendement n° 21, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Compléter le 4° du II du texte proposé par cet article pour l'article 8 de la loi n° 7817 du 6 janvier 1978 par les mots :
sous réserve de recueillir le consentement exprès de la personne concernée
La parole est à M. Charles Gautier.
M. Charles Gautier. Nous abordons, à travers cet amendement, la question des exceptions au principe d'interdiction de la collecte et du traitement des données sensibles.
Des exceptions à ce principe protecteur de données fondamentales existent dans le droit en vigueur et ont été reprises. Certaines ne soulèvent pas de problème, comme l'exception fondée sur la publicité antérieure des faits, les données ayant été rendues publiques par l'intéressé lui-même.
En revanche, le 4° du II de cet article prévoit une exception fondée sur la finalité du traitement nécessaire à la constatation, à la défense ou à l'exercice d'un droit en justice.
Or aucune distinction n'est faite entre les fichiers selon qu'ils sont défensifs ou préventifs.
Dans sa rédaction actuelle, cette disposition autorise une entreprise à détenir des fichiers d'opinion en vue d'une action en licenciement pour faute grave, voire pour motif économique si le choix existe, des fichiers de santé pour le cas où un salarié viendrait à se prévaloir d'une maladie professionnelle, demanderait abusivement un congé maladie ou ferait valoir tout autre droit en justice.
Cette disposition, dont le champ d'application est extrêmement vaste, ouvre la voie à la tenue de fichiers privés et secrets de suspects, véritables listes noires, ce qui est intolérable en raison des valeurs fondamentales qui doivent faire l'objet d'une protection particulièrement renforcée.
C'est la raison pour laquelle nous proposons que la personne intéressée soit impérativement et nécessairement informée de l'opération de traitement dont elle fait l'objet et puisse, le cas échéant, s'y opposer.
Nous avons noté que, aux termes de la rédaction proposée pour le 1° A de l'article, sont prévus les traitements pour lesquels la personne concernée a donné son consentement exprès. Mais il s'agit là d'un cas particulier qui nécessite une référence spécifique au consentement exprès, et qui est plus protecteur dans la mesure où il suppose une action positive du responsable du traitement invité à recueillir le consentement de la personne concernée.
Dans ces conditions, il convient bien de préciser que les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice sont autorisés dans le cadre de l'article 8 de la loi du 6 janvier 1978, sous réserve toutefois du consentement exprès de la personne concernée.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. L'adoption de cet amendement pourrait avoir des conséquences extrêmement graves par leur lourdeur.
Les personnes exerçant une profession juridique, et notamment les avocats, peuvent être amenées à traiter de questions touchant à la responsabilité médicale, au statut d'un salarié protégé. Ils manient donc nécessairement, dans le cadre de leur travail de défense, des données personnelles.
Si l'on suit votre idée, monsieur Gautier, nous créerons une paralysie de l'activité, ce qui n'est vraiment pas raisonnable. C'est pourquoi la commission émet un avis défavorable sur cet amendement.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Cette dérogation pour les stricts besoins de la constatation, de l'exercice ou de la défense d'un droit n'échappe pas à un contrôle a posteriori de la CNIL, à laquelle nous faisons évidemment confiance.
Par conséquent, le Gouvernement émet un avis défavorable.
M. le président. L'amendement n° 22, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Dans le III du texte proposé par cet article pour l'article 8 de la loi n° 7817 du 6 janvier 1978, remplacer les mots :
par l'intérêt public
par les mots :
par un motif d'intérêt public important
La parole est à M. Charles Gautier.
M. Charles Gautier. Cet amendement concerne une autre exception à l'interdiction générale de collecte et de traitement des données sensibles : les traitements de données intéressant la sécurité publique, la défense et la sûreté de l'Etat.
Or le projet de loi supprime non seulement la procédure de l'avis conforme émis par la CNIL, mais également l'avis conforme du Conseil d'Etat dans le cas où le Gouvernement souhaiterait passer outre l'avis défavorable de la Commission.
On nous invite donc à lever tout contrôle à l'égard de cette catégorie de traitements. La CNIL perdra son levier principal pour le contrôle de tels fichiers, mais je laisse à son président le soin d'en juger.
Donnons acte aux associations et aux syndicats lorsqu'ils dénoncent une telle confusion dans les fonctions. Ils ont raison de s'alarmer : cette situation ambiguë, où le législateur est dans le même temps le président de l'institution, assèche considérablement nos débats !
Nous sommes, bien entendu, opposés à cet ajustement par le bas. C'est pourquoi il nous semble utile de reprendre la rédaction du paragraphe 6 de l'article 8 de la directive aux termes duquel les dérogations ne sont possibles que pour un motif d'intérêt public important.
En cette matière, la précision que nous souhaitons apporter serait de nature à assurer un haut niveau de garantie en resserrant la notion d'intérêt public, sans que soit remis en cause le régime spécifique qui s'applique aux traitements de données mis en oeuvre au profit de l'Etat.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. La commission émet un avis défavorable.
Un simple ajout de vocabulaire ne résoudra pas une question de fond, nous l'avons vu à plusieurs reprises. En effet, point n'est besoin d'être un grand juriste pour constater qu'une telle précision n'a pas beaucoup de contenu et sera sans effet.
Il est vrai, monsieur Gautier, qu'il s'agit de la formulation retenue dans la directive ; mais nous venons de voir des cas dans lesquels le vocabulaire de la directive n'avait pas à être « transplanté » directement en droit interne.
En tout état de cause, je veux rappeler que cette rédaction reprend le texte élaboré par le gouvernement de Lionel Jospin. J'avais moi-même été surpris, à l'époque, de ne pas y retrouver les termes exacts de la directive, puis, finalement, la rédaction ne m'avait pas semblé si mauvaise et j'avais considéré que l'on pouvait en rester là.
Or vous voulez aller contre cette formulation, maintenant nous l'avons acceptée !
Il nous a semblé, tout simplement, que la CNIL, une fois de plus, est parfaitement juge de l'intérêt public. C'est un travail qu'elle fait quotidiennement et à longueur de journée. Admettez, monsieur Gautier, qu'ajouter « intérêt public important » ne changera pas grand-chose à la capacité de la CNIL à traiter la question !
Enfin, vous avez évoqué, au détour d'un phrase, la question - je me demandais quand elle allait être abordée - relative à la confusion des genres entre la présidence de la CNIL et le fait d'appartenir au Sénat. Je veux vous répondre, tout d'abord, que cela est conforme à la loi et que l'un de mes augustes prédécesseurs était également sénateur.
Mme Nicole Borvo. Oui, mais pas rapporteur !
M. Alex Türk, rapporteur. Ces derniers jours, un journaliste, qui ne partageait probablement pas mes opinions politiques, m'a dit que, en tant que président de la CNIL, je devais surmonter deux handicaps majeurs : être sénateur et... ne pas être de gauche !
M. Jean Chérioux. Et oui ! C'est un grave péché !
M. Alex Türk, rapporteur. Les grands électeurs pourront décider de me faire quitter le Sénat, mais ils ne me feront pas changer d'opinion politique. Donc, il faudra vous y faire.
A l'avenir, je m'efforcerai, conformément à une discussion que j'ai eue avec le président de la commission des lois, de ne plus être rapporteur pour des textes qui concernent la CNIL.
M. Robert Bret. Ah oui ?
M. Alex Türk, rapporteur. Cela va de soi !
En ce qui concerne l'examen de ce projet de loi, comme nous pensions qu'il s'agissait d'une dernière lecture, que nous n'aurions à examiner que quelques points restant en discussion...
M. Robert Bret. ... et qu'il n'y avait pas de problème ! (Sourires sur les travées du groupe CRC et du groupe socialiste.)
M. Alex Türk, rapporteur. ... et que nous n'avions pas envisagé que le débat serait repris d'un bout à l'autre, nous n'avions pas vu de difficulté à ce que je conserve, dans la foulée, mes fonctions de rapporteur.
M. René Garrec, président de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale. A ma demande instante !
M. Robert Bret. C'est là l'erreur !
M. Alex Türk, rapporteur. A la demande instante du président de la commission, j'ai accepté de rester rapporteur. Pour l'avenir, puisque vous semblez avoir besoin d'une telle précision, monsieur Gautier, soyez assurés que je ne serai plus rapporteur sur des textes qui concernent la CNIL.
M. Robert Bret. Dont acte !
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. La notion d'intérêt public me paraît suffisante pour permettre à la CNIL d'assurer l'encadrement de cette dérogation.
De plus, si la précision introduite par cet amendement, ne peut rien ajouter au pouvoir d'appréciation de la CNIL, elle peut, en revanche, conduire à des interprétations divergentes. C'est un danger qu'il faut éviter. Pour cette raison le Gouvernement émet un avis défavorable.
M. le président. La parole est à M. Charles Gautier, pour explication de vote.
M. Charles Gautier. Monsieur Türk, depuis le début de notre discussion, on sent bien peser une ambiguïté et il est donc normal que nous en parlions à un moment ou à un autre. J'avais d'ailleurs évoqué subrepticement ce point lors de la discussion générale.
Monsieur le rapporteur, l'ambiguïté ne tient pas au fait que le président de la CNIL soit également sénateur, bien au contraire ! Elle tient au fait que le président de la CNIL soit rapporteur sur ce projet de loi, ce n'est pas du tout la même chose !
M. René Garrec, président de la commission des lois. Il était rapporteur avant !
M. Charles Gautier. C'est si vrai que vous avez pris l'engagement ne plus assumer ce type de fonction si d'aventure le Sénat devait être amené à examiner un texte concernant la CNIL. A l'évidence, nous sommes du même avis.
M. Jean Chérioux. Eh bien, tant mieux !
M. Charles Gautier. Et le trouble est encore plus grand quand on sait que le rapporteur de ce texte à l'Assemblée nationale est également premier vice-président de la CNIL. En conséquence, on ne sait plus si c'est le législateur ou l'institution qui s'exprime.
Cela fait beaucoup pour que l'on évoque le hasard !
M. Jean Chérioux. Toujours la suspicion !
M. Serge Lagauche. Avec vous, c'est normal ! Vous avez des références, monsieur Chérioux !
M. le président. La parole est à M. le rapporteur.
M. Alex Türk, rapporteur. Le rapporteur à l'Assemblée nationale n'est absolument pas le premier vice-président de la CNIL, monsieur Gautier. Le premier vice-président de cette institution représente le Conseil économique et social et est un syndicaliste Force ouvrière ! (M. Roger Karoutchi applaudit.) M. Francis Delattre, rapporteur à l'Assemblée nationale, n'a aucune responsabilité exécutive : il est membre de la CNIL, chargé des collectivités locales.
Quoi qu'il en soit, monsieur Gautier, je me permets de vous renvoyer à tous les articles qui fleurissent actuellement dans la presse et dont les auteurs, membres de la CNIL à une époque où ils avaient donné leur accord de principe au texte, considèrent aujourd'hui que le projet de loi doit être revu ! Cette ambiguïté me paraît infiniment plus profonde, d'autant qu'une de ces personnes s'est trouvée être le président de l'Assemblée nationale qui a fait voter la mouture du texte !
Il s'agit là d'une ambiguïté de fond et sur les idées ; or vous me reprochez une ambiguïté statuaire due au fait que, entre temps, je suis devenu président de la CNIL, et dont j'ai discuté avec le président de la commission des lois !
M. Jean Chérioux. C'est l'objectivité socialiste !
M. le président. Je suis saisi de trois amendements faisant l'objet d'une discussion commune.
L'amendement n° 23, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Supprimer les deux derniers alinéas (3° et 4°) du texte proposé par cet article pour l'article 9 de la loi n° 78-17 du 6 janvier 1978.
La parole est à M. Charles Gautier.
M. Charles Gautier. L'article 9 de la loi du 6 janvier 1978 énumère les autorités et les personnes qui sont autorisées à traiter des données à caractère personnel relatives aux infractions, les condamnations et les mesures de sûreté.
Il vise les juridictions, les autorités publiques et les personnes morales gérant un service public, à condition qu'elles agissent dans le cadre de leurs attributions légales, et les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi.
Mais au Sénat, puis à l'Assemblée nationale, la majorité a décidé de modifier l'article 9, afin de poser un principe nouveau : la possibilité pour des personnes morales de constituer des fichiers justifiés par les besoins de la prévention, de la lutte contre la fraude et de la réparation du préjudice subi.
Le principe étant posé, elle en a prévu une application directe pour les créateurs au titre de la protection des droits d'auteur. Il s'agit ici d'autoriser clairement les entreprises ou les sociétés privées, voire des associations, à développer des fichiers de suspects.
Certes, le motif - la prévention, la lutte contre la fraude ainsi que la réparation du préjudice subi - paraît, à première vue, légitime.
Pour autant, ce nouveau dispositif risque d'encourager l'émergence de politiques privées de prévention de la délinquance, sans garde-fous. Nous ne pouvons accepter le principe de la constitution de fichiers de police et de relevés de condamnations entre les mains d'organismes dépourvus de mission de service public, tels que ceux de la justice et de la police.
Des anciens membres de la CNIL, dont deux anciens vice-présidents, ont posé les questions suivantes : « Chaque entreprise pourra-t-elle tenir désormais un casier judiciaire de sa clientèle ? Pourra-t-elle le partager avec d'autres entreprises - ou le leur vendre ? Qui le saura ? A quelles fins ? S'agira-t-il de voleurs à l'étalage fichés sans autre forme de procès ? Ou s'agira-t-il d'adolescents qui téléchargent de la musique sur Internet ? »
Il n'est jamais bon de légiférer dans la précipitation.
Ces dispositions ont été adoptées dans un contexte particulier, après une très forte pression médiatique sur la crise dans l'industrie du disque.
Les difficultés que rencontrent les professionnels de l'industrie culturelle sont réelles et méritent que l'on trouve des solutions adaptées. Mais il est très maladroit de vouloir résoudre le problème du piratage dans le cadre législatif de la protection des données.
C'est la voie de la répression contre les internautes et du verrouillage technologique encourageant les dispositifs anticopie sur les fichiers numériques et les CD qui, à ce jour, a été choisie. II s'agit d'une vision à court terme et, s'agissant de la répression contre les internautes, la solution retenue est techniquement inapplicable, sauf à criminaliser tous les utilisateurs qui échangent des fichiers musicaux ou des films en France et à l'étranger.
Pourtant des solutions existent. On pourrait considérer le téléchargement via Internet comme de la copie privée et rémunérer les auteurs en taxant les disques durs ou les fournisseurs d'accès.
Le Conseil économique et social s'est prononcé tout récemment sur un projet d'avis qui propose des alternatives au tout-répressif en matière de droits d'auteur sur Internet.
Aujourd'hui même, le ministre de la culture a convié tous les protagonistes à une grande réunion de concertation, y compris, paraît-il, de jeunes pirates parce que le Gouvernement craint que ses prises de position n'instaurent une fracture avec la jeunesse.
Il faudra bien, quoi qu'il en soit, intégrer ces nouvelles formes de consommation tout en protégeant les auteurs et les titulaires de droits voisins.
Pour toutes ces raisons nous vous proposons de supprimer les deux derniers alinéas du texte proposé pour l'article 9 de la loi du 6 janvier 1978.
M. le président. L'amendement n° 3, présenté par M. Bret et les membres du groupe Communiste Républicain et Citoyen, est ainsi libellé :
Supprimer le 3° du II du texte proposé par cet article pour l'article 9 de la loi n° 7817 du 6 janvier 1978.
La parole est à M. Robert Bret.
M. Robert Bret. Cet article, introduit en première lecture par un amendement de la commission des lois du Sénat, crée, en contradiction avec les principes traditionnels de notre droit, une nouveauté, qui consiste à donner la possibilité à une personne morale victime d'infractions de constituer un fichier d'infractions.
Le droit réserve actuellement la possibilité de créer des fichiers d'infractions, de condamnations et de mesures de sûreté aux seules juridictions ainsi qu'à quelques autorités publiques gérant un service public déterminé et à certains auxiliaires de justice dans des conditions très précises. C'est le cas, par exemple, de l'administration fiscale ou de la Banque de France.
Les autres personnes morales disposent d'un droit d'accès limité à ces fichiers afin de préserver le droit à la vie privée et le droit à l'oubli des personnes faisant l'objet de tels traitements.
Or, avec le présent article, nous entrons dans une toute autre logique, puisque le caractère très général de sa rédaction permet désormais à tout organisme et à toute entreprise de constituer son propre « casier judiciaire » privé, ce qui apparaît, en fin de compte, comme une légitimation des « listes noires » de clients, déjà pratiquées, on le sait, par les loueurs de voitures, notamment.
Selon vos propres termes, monsieur le rapporteur, il s'agit « d'éviter la mise en place d'un certain nombre de fichiers clandestins ». Tel est donc le rôle du législateur aujourd'hui : légaliser des pratiques plutôt que définir des principes !
Cet article est d'autant plus inquiétant que sa portée générale ne permet d'avoir aucune garantie sur son champ d'application ni sur l'utilisation de tels fichiers. En l'état actuel du texte, n'en déplaise à M. le rapporteur, rien n'interdit la « mutualisation des données entre sociétés », qui consiste en des systèmes de partage ou de revente de fichiers. On en mesure aisément les conséquences du point de vue des libertés individuelles. Et nous sommes tous témoins !
En le rapprochant d'autres articles du projet de loi, les risques sont d'autant plus grands de voir se constituer des fichiers attentatoires à la vie privée, alors que ces données ne sont pas répertoriées dans la catégorie des données sensibles - vous avez, je le rappelle, refusé notre amendement qui élargissait ce champ à l'intimité sociale de la personne.
Ces données pourront être collectées sans le consentement de la personne et sans que le droit d'accès à ces informations puisse être garanti. D'autant que, dès lors qu'on sera dans le cadre d'une entreprise disposant d'un correspondant de la CNIL, ces fichiers seront exemptés de toute déclaration.
Je vous en prie, mes chers collègues, reprenons raison et n'acceptons pas ainsi un transfert de l'un des attributs de la justice à des personnes dépourvues de missions de police ou de justice.
M. le président. L'amendement n° 4, présenté par M. Bret et les membres du groupe Communiste Républicain et Citoyen, est ainsi libellé :
Supprimer le 4° du II du texte proposé par cet article pour l'article 9 de la loi n° 7817 du 6 janvier 1978.
La parole est à M. Robert Bret.
M. Robert Bret. Selon un adage romain bien connu, « Plus l'Etat se décompose, plus les lois pullulent ». La présente session extraordinaire m'y fait fortement penser.
Vous voulez légiférer dans tous les domaines. Soit ! Mais l'ordre que vous prônez, à y regarder de près, voudrait venir en aide à une régulation économique impossible, puisque la liberté individuelle et le droit à la concurrence - qui sont vos credos - génèrent un merveilleux désordre.
Le 4° de l'article 9 de la loi de 1978, tel qu'il nous revient de l'Assemblée nationale, s'affiche comme une volonté de défense du droit d'auteur. Nous partageons la cause, mais certainement pas les modalités.
Avec la loi sur l'économie numérique, vous aviez déjà justifié l'abaissement du niveau de protection de la correspondance privée des messageries électroniques personnelles par la volonté de défendre le droit d'auteur ; il s'agissait de pouvoir lutter directement contre le peer to peer en permettant de traquer ce type de fichiers directement dans les e-mails.
Nous avions dit à l'époque que la fin ne pouvait certainement pas justifier les moyens employés. Vous récidivez aujourd'hui en autorisant directement les sociétés de défense des droits d'auteur à constituer des fichiers de ces internautes « délinquants du droit d'auteur ». Je ne suis d'ailleurs pas sûr, à la réflexion, que le précédent alinéa, que vous avez choisi de maintenir en rejetant notre amendement de suppression, n'autorise pas les majors, en tant qu'éditeurs, à constituer également de tels fichiers.
Si nous comprenons la nécessité de lutter contre la fraude, nous ne voulons pas créer « un délit d'habitude » quand un jeune réalise une copie pour lui-même. Il convient en effet de distinguer l'usage personnel du trafic en vue de la revente, distinction qui n'apparaît pas dans le texte.
En outre, nous avons toujours plaidé en faveur d'une réflexion beaucoup plus large sur les droits d'auteur. Plutôt que de chercher les solutions dans la répression des jeunes, il faut, par exemple, réfléchir au prix du disque et inventer de nouvelles formes de rémunération pour les auteurs.
En tout état de cause, vouloir régler la question dans un texte qui ne concerne absolument pas les droits d'auteur ne me semble pas une bonne solution, d'autant que votre disposition ne s'articule pas avec le droit à la copie privée reconnu par la loi du 3 juillet 1985.
Pour toutes ces raisons nous vous demandons, mes chers collègues, d'adopter notre amendement de suppression.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Ces trois amendements portent sur le problème de la constitution de fichiers d'infractions, qui concernent deux domaines vraiment différents.
Dans le premier cas, il s'agit de l'hypothèse dans laquelle une personne morale de droit privé pourrait créer un traitement de données à caractère personnel relatives aux infractions.
Plusieurs points doivent être précisés.
Premièrement, cette possibilité est ouverte par la directive de 1995 elle-même. Certes, ce n'est pas parce que cette directive ouvre une brèche que nous sommes obligés de nous y engouffrer. Je le signale tout de même afin de montrer que cette possibilité n'est pas aberrante, puisque cette pratique existe dans d'autres pays européens.
Deuxièmement, vous avez fait référence, monsieur Bret, au problème que posent les fichiers clandestins. Mais vous avez eu tort de vous montrer ironique.
Quelle est la réalité ? Nous soupçonnons que ces fichiers existent d'une manière clandestine. Je préfère mille fois, si tel est le cas, mettre en place un cadre juridique afin d'améliorer le contrôle plutôt que de m'enfouir la tête dans le sable et de les laisser exister.
Il n'est absolument pas question, pour le législateur, de favoriser des activités clandestines. Il s'agit de les repérer si elles existent, de les encadrer juridiquement, et de les interdire le cas échéant.
Troisièmement, si ce projet de loi, comme je l'espère, est adopté aujourd'hui même, rien ne changera ce soir sur ce point, puisque vous avez oublié de rappeler un aspect fondamental : il faudra adopter un autre projet de loi pour mettre en oeuvre cette disposition.
Le projet de loi que nous sommes en train d'examiner fixe le principe que le législateur, s'il le souhaite, pourra autoriser une personne morale de droit privé à créer des fichiers d'infractions. Cette mesure pourrait être considérée comme un curieux montage juridique, mais elle devrait plutôt vous rassurer. Nous nous retrouverons alors ici pour en discuter le moment venu. Nous n'ouvrons donc aucune vanne dangereuse, puisque tout est verrouillé par le législateur.
J'ajoute que, ce qui fera le lien entre les trois points que je viens d'évoquer, l'objectif consiste à sortir ces pratiques de la clandestinité et à les soumettre aux règles de droit commun. Je pense, par exemple, au droit d'accès, au droit de rectification, au droit d'opposition ; bref, je pense à tous les droits qui sont conférés à nos concitoyens afin qu'ils puissent défendre leur liberté et, surtout, assurer la protection de leurs données personnelles.
On constate que le mécanisme est en fait assez logique : le législateur pourra, s'il le souhaite, autoriser la création dans tel cas de tel type de fichiers d'infractions. Instantanément, l'ensemble du droit commun protecteur, qui est contrôlé par la Commission nationale de l'informatique et des libertés, s'appliquera aux fichiers en question, qui pouvaient être clandestins ou qui n'existaient pas auparavant.
Le second cas est de même nature juridique, mais il diffère dans son application, puisqu'il s'agit essentiellement de la question des droits d'auteur.
Je ne reprendrai pas toute la discussion sur ce sujet. Je crois qu'il faut désormais assumer nos responsabilités. La situation est grave et nécessite des réactions urgentes.
J'ai pu le vérifier auprès d'un certain nombre d'interlocuteurs au cours des dernières semaines, les choses ne sont pas si simples. Une partie du patrimoine culturel est tout de même en jeu et de nombreuses grandes sociétés américaines n'ont, d'une certaine façon, qu'à attendre, car les sociétés françaises sont moins fortes dans ce domaine d'activité. A la fin ne resteront que les puissants.
L'objectif est donc d'essayer de donner les moyens à ces sociétés de résister à cette attaque qui est organisée d'une manière larvée et qui est fondée sur l'inertie. C'est la raison pour laquelle nous avons pensé qu'il était judicieux de l'inscrire dans le dispositif dès maintenant pour ne pas perdre une journée dans la lutte contre ces éventuels détournements.
Il est vrai que, sur le plan éthique, on ne peut peut-être pas mettre au même niveau le cas du jeune qui réalise une copie avec le piratage organisé. Mais il faut tout de même fixer un cadre juridique afin de distinguer clairement ce qui est légal de ce qui ne l'est pas. C'est l'objectif que nous visons avec la rédaction que nous avons retenue.
C'est pourquoi j'invite le Sénat à rejeter ces amendements.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Concernant l'amendement n° 3, je partage entièrement les propos de M. le rapporteur et je confirme que des dispositions législatives seront nécessaires.
L'amendement n° 4 supprime la possibilité ouverte à des personnes morales qui gèrent ou défendent le droit d'auteur, par exemple la SACEM, d'opérer des traitements leur permettant de prévenir et, si nécessaire, de lutter contre les nouvelles pratiques de contrefaçon qui se développent sur Internet. Sans cette mesure introduite par l'Assemblée nationale, la plupart des victimes d'infraction de cette nature se heurteraient à l'impossibilité de rapporter la preuve des atteintes à leurs droits.
Je précise en outre que les traitements qu'il s'agit de rendre possible seront soumis au cas par cas à la procédure d'autorisation préalable sur décision directe rendue par la CNIL. Par ailleurs, celle-ci exercera naturellement, vis-à-vis de ces traitements, ses entiers pouvoirs de contrôle a posteriori.
Ces considérations valent également pour l'amendement n° 23.
Le Gouvernement émet donc un avis défavorable sur ces trois amendements.
M. le président. L'amendement n° 24, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Dans le premier alinéa du texte proposé par cet article pour l'article 10 de la loi n° 78-17 du 6 janvier 1978 après le mot :
destiné
insérer les mots :
à définir le profil de l'intéressé ou
La parole est à M. Charles Gautier.
M. Charles Gautier. En première lecture, l'Assemblée nationale avait rétabli la référence à la notion de profil de l'intéressé mentionnée à l'actuel article 2 de la loi du 6 janvier 1978. La CNIL avait jugé en son temps cette notion plus neutre et plus familière en France.
Il s'agit d'une modification qu'il convient d'approuver, car elle permet de maintenir un niveau équivalent de protection par rapport à l'existant, alors que l'article 15 de la directive, qui inspire la rédaction du présent article 10, n'évoque que la personnalité de l'intéressé.
Mais, curieusement, la référence à la notion de profil n'a été introduite que dans le second alinéa de cet article pour les décisions produisant des effets juridiques à l'égard des personnes sans que soient concernées les décisions de justice visées au premier alinéa et impliquant une appréciation sur le comportement de la personne.
Or, dans ces deux cas, la problématique est identique : il s'agit d'éviter que ces informations ne deviennent des casiers judiciaires parallèles non contrôlés et d'empêcher qu'elles produisent des effets stigmatisants.
C'est la raison pour laquelle cet amendement vise à rétablir, à l'instar du deuxième alinéa, la référence à la notion de profil de l'intéressé dans le cas de décisions de justice impliquant une appréciation sur le comportement d'une personne.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Il est vrai que sur le plan esthétique - si j'ose dire ! - on peut, dans un premier temps, être sensible à la nécessité d'un parallélisme entre les deux hypothèses. Après réflexion, je ne partage pas votre point de vue, car ce sont deux problématiques différentes.
La première englobe une hypothèse susceptible de se produire dans le secteur privé. Cette préoccupation, je la comprends, nous la partageons, et l'Assemblée nationale a résolu le problème.
La deuxième vise des décisions de l'autorité judiciaire. Or j'ai beau y réfléchir, franchement, je ne vois pas dans quelle circonstance un magistrat pourrait rendre une décision de justice exclusivement fondée sur le comportement.
Donc, je ne vois pas comment on peut appliquer cette notion, certes, parfaitement fondée dans le cas du secteur privé mais inutile s'il s'agit d'une décision judiciaire.
La restauration du parallélisme ne me semble pas obligatoire. C'est la raison pour laquelle la commission émet un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. J'ajouterai même que ce parallélisme me paraîtrait complètement inadapté. C'est pourquoi le Gouvernement émet un avis défavorable.
M. le président. Je mets aux voix l'article 2.
(L'article 2 est adopté.)
Article 3
Le chapitre III de la loi no 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« CHAPITRE III
« La Commission nationale de l'informatique et des libertés
« Art. 11. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes :
« 1° A Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations ;
« 1° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi.
« A ce titre :
« a) Elle autorise les traitements mentionnés à l'article 25, donne un avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les déclarations relatives aux autres traitements ;
« b) Elle établit et publie les normes mentionnées au I de l'article 24 et édicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ;
« c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;
« d) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre des traitements automatisés de données à caractère personnel ;
« e) Elle informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 52 ;
« f) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou des agents de ses services, dans les conditions prévues à l'article 44, de procéder à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;
« g) Elle peut, dans les conditions définies au chapitre VII, prononcer à l'égard d'un responsable de traitement l'une des mesures prévues à l'article 45 ;
« h) Elle répond aux demandes d'accès concernant les traitements mentionnés aux articles 41 et 42 ;
« 2° A la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements :
« a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des produits et procédures tendant à la protection des personnes à l'égard du traitement de données à caractère personnel, ou à l'anonymisation de ces données, qui lui sont soumis ;
« b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu'elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes ;
« c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elles les a reconnus conformes aux dispositions de la présente loi ;
« 3° Elle se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ;
« A ce titre :
« a) Elle est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements automatisés ;
« b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques ;
« b bis) A la demande d'autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;
« c) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes en ce domaine.
« Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.
« La commission présente chaque année au Président de la République, au Premier ministre et au Parlement un rapport public rendant compte de l'exécution de sa mission.
« Art. 12 - Non modifié.
« Art. 13. - I. - La Commission nationale de l'informatique et des libertés est composée de dix-sept membres :
« 1° Deux députés et deux sénateurs, désignés respectivement par l'Assemblée nationale et par le Sénat ;
« 2° Deux membres du Conseil économique et social, élus par cette assemblée ;
« 3° Deux membres ou anciens membres du Conseil d'Etat, d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale du Conseil d'Etat ;
« 4° Deux membres ou anciens membres de la Cour de cassation, d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale de la Cour de cassation ;
« 5° Deux membres ou anciens membres de la Cour des comptes, d'un grade au moins égal à celui de conseiller maître, élus par l'assemblée générale de la Cour des comptes ;
« 6° Trois personnalités qualifiées pour leur connaissance de l'informatique ou des questions touchant aux libertés individuelles, nommées par décret ;
« 7° Deux personnalités qualifiées pour leur connaissance de l'informatique, désignées respectivement par le Président de l'Assemblée nationale et par le Président du Sénat.
« La commission élit en son sein un président et deux vice-présidents, dont un vice-président délégué. Ils composent le bureau.
« La formation restreinte de la commission est composée du président, des vice-présidents et de trois membres élus par la commission en son sein pour la durée de leur mandat.
« En cas de partage égal des voix, celle du président est prépondérante.
II. - Le mandat des membres de la commission mentionnés aux 3°, 4°, 5°, 6° et 7° du I est de cinq ans ; il est renouvelable une fois. Les membres mentionnés aux 1° et 2° siègent pour la durée du mandat à l'origine de leur désignation ; leurs mandats de membre de la Commission nationale de l'informatique et des libertés ne peuvent excéder une durée de dix ans.
« Le membre de la commission qui cesse d'exercer ses fonctions en cours de mandat est remplacé, dans les mêmes conditions, pour la durée de son mandat restant à courir.
« Sauf démission, il ne peut être mis fin aux fonctions d'un membre qu'en cas d'empêchement constaté par la commission dans les conditions qu'elle définit.
« La commission établit un règlement intérieur. Ce règlement fixe les règles relatives à l'organisation et au fonctionnement de la commission. Il précise notamment les règles relatives aux délibérations, à l'instruction des dossiers et à leur présentation devant la commission.
« III. - Supprimé.
« Art. 14. - non modifié.
« Art. 15. - Sous réserve des compétences du bureau et de la formation restreinte, la commission se réunit en formation plénière.
« En cas de partage égal des voix, la voix du président est prépondérante.
« La commission peut charger le président ou le vice-président délégué d'exercer celles de ses attributions mentionnées :
« - au troisième alinéa du I de l'article 23 ;
« - aux e et f du 1° de l'article 11 ;
« - au c du 1° de l'article 11 ;
« - au c du 3° de l'article 11 ;
« - aux articles 41 et 42 ;
« - à l'article 54 ;
« - aux articles 63, 64 et 65 ;
« - au dernier alinéa de l'article 69 ;
« - au premier alinéa de l'article 70.
« Art. 16. - Le bureau peut être chargé par la commission d'exercer les attributions de celle-ci mentionnées :
« - au dernier alinéa de l'article 19 ;
« - à l'article 25, en cas d'urgence ;
« - au second alinéa de l'article 70.
« Le bureau peut aussi être chargé de prendre, en cas d'urgence, les décisions mentionnées au premier alinéa du I de l'article 45.
« Art. 17. - Non modifié.
« Art. 18. - Un commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la commission. Des commissaires adjoints peuvent être désignés dans les mêmes conditions.
« Le commissaire du Gouvernement assiste à toutes les délibérations de la commission réunie en formation plénière ou en formation restreinte, ainsi qu'à celles des réunions de son bureau qui ont pour objet l'exercice des attributions déléguées en vertu de l'article 16 ; il est rendu destinataire de tous ses avis et décisions.
« Il peut, sauf en matière de sanctions, provoquer une seconde délibération, qui doit intervenir dans les dix jours de la délibération initiale.
« Art. 19 et 20. - Non modifiés.
«Art. 21. - Dans l'exercice de leurs attributions, les membres de la commission ne reçoivent d'instruction d'aucune autorité.
« Les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.
« Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission en application du f du 1° de l'article 11 sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions. »
M. le président. L'amendement n° 25, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Rédiger comme suit le début du vingt deuxième alinéa (c du 3°) du texte proposé par cet article pour l'article 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
Elle est associée, à la demande du Premier ministre, à la préparation de la position française...
La parole est à M. Charles Gautier.
M. Charles Gautier. En première lecture, le Sénat a adopté, sur proposition du rapporteur, un amendement assurant l'association de la CNIL à la définition de la position française et sa participation, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes.
L'extension des missions de la CNIL est bienvenue dans ce dernier domaine, car elle lui assurera de meilleures conditions pour recevoir toutes les informations utiles sur le déroulement des négociations internationales relatives à la protection des données à caractère personnel, même si cet objectif est déjà en partie largement atteint.
Il n'en va pas de même s'agissant de la participation de la CNIL à la définition de la position française. Une telle disposition empiète manifestement sur les prérogatives du pouvoir exécutif en matière de négociations internationales.
Dès lors que des assurances ont été prises par les rapporteurs de chacune des deux assemblées sur l'entière liberté d'action du Gouvernement dans ce domaine, on ne voit guère l'intérêt de maintenir cette précision.
Que devient la spécificité d'une institution dont le fonctionnement repose sur le principe de la collégialité ?
Nous pensons enfin qu'il existe une incompatibilité entre l'association de la CNIL à la définition même de la position française dans les négociations internationales et sa nature d'autorité indépendante solennellement affirmée par le premier alinéa de l'article 11 modifié.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. J'avoue avoir eu du mal à comprendre cet amendement.
Si je vois bien où vous voulez en venir, je n'en trouve pas moins la formulation quelque peu insolite. Vous commencez par proposer que l'association de la CNIL aux travaux soit systématique plutôt que facultative.
Sur ce point, je vous réponds que la pratique montre que la question ne se pose pas véritablement. J'ai fait vérifier qu'aujourd'hui, c'est incontestable, la CNIL est systématiquement associée aux discussions interministérielles, notamment aux travaux du SGCI, le secrétariat général du comité interministériel.
Si je reprends votre argument de l'indépendance, il me paraît assez légitime de considérer que l'exécutif a la maîtrise de la question. C'est à lui qu'il appartient de définir la position internationale et donc de dire s'il souhaite ou non associer la CNIL. Il se trouve que les choses se passent bien dans la pratique, ce dont je me félicite.
Vous poursuivez en nous disant qu'être associé à la préparation serait une chose, alors qu'être associé à la définition mettrait en cause l'indépendance. Je ne le crois pas, je l'avais d'ailleurs signalé au cours des débats en première lecture.
Dans la réalité, quand je présidais il y a quelques années l'Autorité de contrôle de Schengen, il m'arrivait bien souvent de demander aux Allemands quelle était la position française. En effet, n'ayant pas la possibilité d'aller jusqu'au bout de la définition d'une politique, je n'étais pas informé. Cette lacune est désormais comblée, et je m'en félicite.
Quant à la suite de votre argumentation, sachez qu'il est parfaitement possible à la CNIL de dire qu'elle participe jusqu'à tel moment et de reprendre ensuite son champ d'action pour que chacun préserve son indépendance. Sur le terrain, la question ne s'est jamais posée.
Au bout du compte, il eût été plus logique de poser le problème uniquement dans un sens ou dans l'autre : ou bien on considère que c'est une faculté et, à ce moment-là, on ne participe pas à la définition ; ou bien on considère que c'est une obligation, et on participe nécessairement à la définition.
L'amendement que vous proposez est un peu bancal, si je puis dire. Aussi, la commission émet un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Il faut maintenir la rédaction actuelle, qui me paraît préserver le pouvoir d'appréciation et la décision de l'exécutif tout en sauvegardant l'indépendance de la CNIL.
Le Gouvernement est donc défavorable à cet amendement.
M. le président. L'amendement n° 26, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Dans le huitième alinéa (7°) du I du texte proposé par cet article pour l'article 13 de la loi n° 7817 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, après les mots :
leur connaissance de l'informatique
insérer les mots :
ou des questions touchant aux libertés individuelles.
La parole est à M. Charles Gautier.
M. Charles Gautier. S'agissant de la composition de la CNIL, le Sénat a, en première lecture, élargi les critères qui doivent être pris en compte pour la désignation des personnalités qualifiées. Ils concernent les connaissances non seulement en matière informatique mais également sur des questions touchant aux libertés individuelles.
Cet ajout est appréciable, car il permet de ne pas nommer seulement des techniciens de l'informatique. L'Assemblée nationale, qui en est tout à fait convenue, a maintenu cette extension des qualifications.
Poursuivant la même logique, cet amendement tend à aligner, dans un souci de cohérence, mais aussi pour réparer un oubli manifeste, le 7° sur le 6° ainsi modifié visant les deux personnalités qualifiées désignées respectivement par le président du Sénat et par le président de l'Assemblée nationale.
Il convient en effet d'envisager la désignation de ces personnalités au regard de leurs connaissances sur les questions se rapportant aussi aux libertés individuelles.
En première lecture, le rapporteur de la commission des lois déclarait que, dès lors que le Sénat avait admis l'idée que les membres de la CNIL devaient être compétents en matière soit d'informatique, soit de libertés individuelles, il était légitime d'avoir la même exigence à l'égard des membres désignés par le président de l'Assemblée nationale et par le président du Sénat.
Nous pensons également qu'il n'existe aucune raison d'instaurer une différence. Tel est l'objet du présent amendement.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Il est vrai qu'une certaine ambiguïté avait régné lors de la première lecture : vous aviez déposé l'amendement, puis vous l'aviez retiré.
A l'époque, je le reconnais, je n'avais pas considéré que l'alignement des deux notions posait un problème.
La réflexion que je vous livrerai maintenant est tirée de la pratique qui est désormais la mienne. D'abord, on peut quand même soutenir l'idée qu'il est peut-être plus logique de mieux corseter le choix des personnalités qualifiées venant de l'exécutif plutôt que celui des personnalités venant du législatif. Après tout, le pouvoir législatif, moins sensible aux vertus de la technocratie, a sa totale liberté de choix.
Ensuite, la pratique a montré que le problème ne se posait pas. Voilà quelques semaines, en effet, le président du Sénat a désigné un conseiller de la Cour des comptes, qui n'était pas un spécialiste de l'informatique. Quant au président de l'Assemblée nationale, il a désigné un professeur de droit, spécialiste des problèmes de liberté.
C'est bien la preuve qu'alors même que rien n'était prévu dans le texte, on a tout naturellement recherché des gens certes dotés - quand c'était possible - d'une certaine connaissance de l'informatique, mais également riches d'une solide expérience en matière de protection des libertés.
C'est la raison pour laquelle cet amendement n'est plus fondamental. La commission y est défavorable.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Sur les dix-sept personnes qui seront amenées à siéger au sein de cette commission, beaucoup seront nécessairement des juristes. Il est très important de pouvoir aussi s'assurer la présence de compétences réelles dans le domaine informatique. Il est souhaitable de préserver cet équilibre.
C'est la raison pour laquelle le Gouvernement est défavorable à cet amendement.
M. le président. L'amendement n° 27, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Au début du dernier alinéa du texte proposé par cet article pour l'article 21 de la loi n° 7817 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, supprimer les mots :
Sauf dans le cas où elles sont astreintes au secret professionnel,
La parole est à M. Charles Gautier.
M. Charles Gautier. Nous abordons, avec cet amendement, une question très intéressante qui se rapporte aux conditions d'exercice de leurs missions par les membres de la CNIL.
L'article 21 modifié prend acte, en quelque sorte, de la qualité d'autorité indépendante de la CNIL. Toutefois, celle-ci n'est plus dotée des prérogatives habituellement reconnues aux autorités indépendantes.
Des pouvoirs d'autorité lui sont bien réservés dans la mesure où « les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ».
Cette dernière précision a été adoptée fort opportunément par le Sénat en première lecture. Mais ce faisant, le Sénat n'a fait que reprendre l'existant, qui figure au dernier alinéa de l'actuel article 21 de la loi du 6 janvier 1978.
Ces pouvoirs sont assortis d'une sanction : soit une sanction administrative prononcée par la CNIL, soit des sanctions pénales pour entrave.
En apparence, la CNIL n'est pas désarmée. Pourtant, le champ même de ses pouvoirs propres d'investigation est réduit.
En effet, les personnes interrogées pourront lui opposer n'importe quel secret professionnel puisque la loi ne fait pas de distinction. La loi en vigueur est plus précise sur ce point, car elle vise bien les informaticiens qui, appelés à témoigner devant la CNIL, sont déliés en tant que de besoin de leur obligation de discrétion.
Jusqu'à présent, la CNIL peut donc procéder à des vérifications sur place sans obstacle. La loi nouvelle ne le lui permettrait plus.
Nous sommes opposés à cet amoindrissement considérable d'un des moyens de défense des libertés dans un domaine hautement sensible.
S'il est toujours utile de conférer aux dispositions législatives une valeur pédagogique, encore faut-il que cette aspiration ne vienne pas contrarier la tâche de la CNIL dans l'exercice de son pouvoir de contrôle sur place et sur pièces.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Nous revenons ici sur une question dont nous avons déjà débattu à plusieurs reprises.
Il faut bien comprendre qu'en réalité la CNIL ne sera pas moins armée après le vote de cette loi qu'elle ne l'est aujourd'hui même.
Si la CNIL était confrontée à ce genre de difficultés, elle pourrait recourir à des moyens coercitifs tel que le délit d'entrave.
En outre, à bien regarder les deux mécanismes juridiques, on constate que le système tel qu'il sera en vigueur après le vote de cette loi ne fera que pérenniser l'existant. D'ailleurs, le garde des sceaux l'avait fait expressément remarquer à la tribune de l'Assemblée nationale, soulignant que ce dispositif ne remettait pas en cause les pouvoirs de la CNIL en la matière. Dans les pouvoirs de la CNIL, la question des moyens du contrôle l'emporte sur cet aspect.
Or, nous avons décidé de faire en sorte que la CNIL puisse disposer de moyens de contrôle beaucoup plus puissants. C'est tout l'objet d'un grand nombre de dispositions de ce texte sur lesquelles il n'y a plus de débat.
Dans la pratique, il a été décidé de passer d'une trentaine de contrôles l'année dernière à une centaine cette année. Et ils sont amenés à se développer de plus en plus. Cela veut dire que l'affirmation selon laquelle la CNIL ne sera plus en mesure d'exercer son contrôle sur place est dénuée de fondement : tout le texte est conçu pour développer de manière prioritaire la fonction de contrôle.
Et croyez-le, tout commissaire de la CNIL, quelle que soit sa sensibilité, non seulement continuera, mais développera sa politique de contrôle. Pour ce faire, la CNIL utilisera tous les moyens nécessaires. Et l'exercice de son pouvoir de contrôle ne sera pas compromis par l'invocation du secret professionnel.
Cela ne change pas le fond du droit existant. Ce qui importe, c'est que la CNIL démontre sur le terrain sa volonté de mener réellement une politique de contrôle.
Pour toutes ces raisons la commission est défavorable à cet amendement.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Avis tout aussi défavorable, monsieur le président. La CNIL est, en effet, en mesure d'effectuer ses investigations et d'exercer son pouvoir de contrôle, nonobstant le secret professionnel auquel nous demeurons très attachés.
M. le président. Je mets aux voix l'amendement n° 27.
(L'amendement n'est pas adopté.)
Je mets aux voix l'article 3.
(L'article 3 est adopté.)
Article 4
Le chapitre IV de la loi no 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« CHAPITRE IV
« Formalités préalables à la mise en oeuvre des traitements
« Art. 22. - I. - A l'exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au second alinéa de l'article 36, les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés.
« II. - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre :
« 1° Les traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;
« 2° Les traitements mentionnés au 2° du II de l'article 8.
« II bis. - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un Etat non membre de la Communauté européenne est envisagé.
« La désignation du correspondant est notifiée à la Commission nationale de l'informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel.
« Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions.
« En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l'informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés.
« III. - Le responsable d'un traitement de données à caractère personnel qui n'est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l'article 31.
« Section 1
« Déclaration
« Art. 23 et 24. - Non modifiés.
« Section 2
« Autorisation
« Art. 25. - I. - Sont mis en oeuvre après autorisation de la Commission nationale de l'informatique et des libertés, à l'exclusion de ceux qui sont mentionnés aux articles 26 et 27 :
« 1° Les traitements, automatisés ou non, mentionnés au 5° bis du II, au II bis et au III de l'article 8 ;
« 2° Les traitements automatisés portant sur des données génétiques, à l'exception de ceux d'entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements ;
« 3° Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;
« 4° Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire ;
« 5° Les traitements automatisés ayant pour objet :
« - l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;
« - l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes ;
« 6° Les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui-ci des personnes ;
« 7° Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;
« 8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes ;
« 9° Supprimé.
« II. - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.
« III. - La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée.
« Art. 26. - I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et :
« 1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ;
« 2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté.
« L'avis de la commission est publié avec l'arrêté autorisant le traitement.
« II. - Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement.
« III. - Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d'Etat, de la publication de l'acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la commission.
« IV. - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.
« Art. 27. - I. - Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :
« 1° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ;
« 2° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui portent sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes.
« II. - Sont autorisés par arrêté ou, en cas de traitement opéré pour le compte d'un établissement public ou d'une personne morale de droit privé gérant un service public, par décision de l'organe délibérant chargé de leur organisation, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :
« 1° Les traitements mis en oeuvre par l'Etat ou les personnes morales mentionnées au I qui requièrent une consultation du répertoire national d'identification des personnes physiques sans inclure le numéro d'inscription à ce répertoire ;
« 2° Ceux des traitements mentionnés au I :
« - qui ne comportent aucune des données mentionnées au I de l'article 8 ou à l'article 9 ;
« - qui ne donnent pas lieu à une interconnexion entre des traitements ou fichiers correspondant à des intérêts publics différents ;
« - et qui sont mis en oeuvre par des services ayant pour mission, soit de déterminer les conditions d'ouverture ou l'étendue d'un droit des administrés, soit d'établir l'assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d'établir des statistiques ;
« 3° Les traitements relatifs au recensement de la population en métropole et dans les collectivités situées outre-mer ;
« 4° Les traitements mis en oeuvre par l'Etat ou les personnes morales mentionnées au I aux fins de mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d'inscription des personnes au répertoire national d'identification ou tout autre identifiant des personnes physiques.
« III. - Les dispositions du IV de l'article 26 sont applicables aux traitements relevant du présent article.
« Art. 28 et 29. - Non modifiés.
« Section 3
« Dispositions communes
« Art. 30. - I. - Les déclarations, demandes d'autorisation et demandes d'avis adressées à la Commission nationale de l'informatique et des libertés en vertu des dispositions des sections 1 et 2 précisent :
« 1° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre Etat membre de la Communauté européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ;
« 2° La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 25, 26 et 27, la description générale de ses fonctions ;
« 3° Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d'autres traitements ;
« 4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
« 5° La durée de conservation des informations traitées ;
« 6° Le ou les services chargés de mettre en oeuvre le traitement ainsi que, pour les traitements relevant des articles 25, 26 et 27, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;
« 7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;
« 8° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès prévu à l'article 39, ainsi que les mesures relatives à l'exercice de ce droit ;
« 9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l'indication du recours à un sous-traitant ;
« 10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne, sous quelque forme que ce soit, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne au sens des dispositions du 2° du I de l'article 5.
« II. - Le responsable d'un traitement déjà déclaré ou autorisé informe sans délai la commission :
« - de tout changement affectant les informations mentionnées au I ;
« - de toute suppression du traitement.
« Art. 31. - I. - La commission met à la disposition du public la liste des traitements automatisés ayant fait l'objet d'une des formalités prévues par les articles 23 à 27, à l'exception de ceux mentionnés au III de l'article 26.
« Cette liste précise pour chacun de ces traitements :
« 1° L'acte décidant la création du traitement ou la date de la déclaration de ce traitement ;
« 2° La dénomination et la finalité du traitement ;
« 3° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre Etat membre de la Communauté européenne, celles de son représentant ;
« 4° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès prévu à l'article 39 ;
« 5° Les catégories de données à caractère personnel faisant l'objet du traitement, ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication ;
« 6° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.
« II. - La commission tient à la disposition du public ses avis, décisions ou recommandations.
« III. - La Commission nationale de l'informatique et des libertés publie la liste des Etats dont la Commission des Communautés européennes a établi qu'ils assurent un niveau de protection suffisant à l'égard d'un transfert ou d'une catégorie de transferts de données à caractère personnel. »
M. le président. L'amendement n° 28, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Dans le I du texte proposé par cet article pour l'article 22 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, après le mot :
automatisés
insérer les mots
ainsi que les traitements non automatisés
La parole est à M. Charles Gautier.
M. Charles Gautier. Cet amendement a pour objet de mieux resserrer les conditions d'application du régime de la déclaration auprès de la CNIL, procédure de droit commun.
Je voudrais néanmoins formuler à nouveau une observation d'ordre général.
Ces régimes de déclaration et d'autorisation sont loin de respecter un principe qui devrait nous guider à chaque fois que nous légiférons, à savoir l'intelligibilité de la loi.
Nous avons affaire, dans tout ce dispositif, à des dispositions générales, souvent assorties de dispenses faisant, elles-mêmes l'objet de dérogations qui connaissent des exceptions. On ne peut pas dire que la lisibilité nécessaire soit ici assurée et notre amendement vise donc à corriger un petit peu ce travers.
Dans le cadre du régime de droit commun de la déclaration, l'article 22 ne vise que les traitements automatisés.
Afin d'assurer un haut niveau de protection, nous pensons qu'il est souhaitable, sur ce sujet, de rester fidèle à la directive. Celle-ci indique que les Etats membres peuvent prévoir que les traitements non automatisés font également l'objet d'une notification.
Le projet de loi fait le choix de ne pas utiliser cette faculté alors que l'article 2 modifié, que nous avons adopté, inclut désormais les fichiers manuels dans le champ d'application de la loi, ce qui d'ailleurs représente une avancée par rapport au droit en vigueur, ces derniers n'étant soumis actuellement qu'à des obligations restreintes.
On va certainement opposer à cet amendement un argument d'ordre matériel. Mais, dès lors que la directive nous laisse des marges de manoeuvres, il serait opportun d'apporter le maximum de garanties et de procéder, en droit interne, à une transposition qui se fasse par le haut.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Vous avez vous-même apporté la réponse en faisant état d'une objection « d'ordre matériel ».
Cet amendement relève effectivement d'un formalisme excessif : il aboutirait à une augmentation considérable du nombre de déclarations alors que le texte, et c'est toute sa philosophie, vise à assouplir le système en transformant le contrôle a priori en contrôle a posteriori.
C'est la raison pour laquelle j'émets un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Le Gouvernement émet, lui aussi, un avis défavorable, car tout l'intérêt de la démarche est de permettre à la CNIL de cibler les contrôles préalables.
M. le président. Je suis saisi de six amendements faisant l'objet d'une discussion commune.
L'amendement n° 5, présenté par M. Bret et les membres du groupe Communiste Républicain et Citoyen, est ainsi libellé :
Supprimer le II bis du texte proposé par cet article pour l'article 22 de la loi n° 7817 du 6 janvier 1978.
La parole est à M. Robert Bret.
M. Robert Bret. Monsieur le président, je défendrai en même temps les amendements nos 6 et 7, dans la mesure où ces trois amendements concernent les correspondants à la protection des données personnelles, que tout organisme ou toute entreprise, pour un peu qu'il en ait les moyens, est autorisé à créer en son sein.
Ce qui, à première vue, peut paraître intéressant s'avère, après une lecture plus approfondie, problématique et dénote, encore une fois, très largement une option politique en faveur d'une minoration des contrôles sur les fichiers, à l'heure de leur explosion.
En effet, la référence aux correspondants « presse » ne doit pas faire illusion s'agissant de lieux d'application de nature très différente et alors que les entreprises de presse ont une activité très encadrée par la loi de 1881.
Tout d'abord, nous ne pouvons admettre que la seule présence de correspondants exonère l'organisme de toute formalité préalable à la création d'un fichier. En effet, elle ne peut constituer à elle seule une garantie suffisante s'agissant d'un fichier traitant de données personnelles, donc potentiellement attentatoire aux droits et libertés de la personne.
Ensuite, il existe, et cela peut être développé, des formulaires types qui permettent, par le biais de formalités simplifiées, d'obtenir un allégement significatif des contraintes administratives. Il nous semble qu'un tel système offrirait plus de garanties tout en répondant au même souci de simplifier les procédures.
En tout état de cause, il n'est pas possible de prévoir de façon aussi généralisée la dispense de toute déclaration. Il convient, à tout le moins, de limiter cette dispense aux traitements les plus courants, qui font déjà l'objet de formalités simplifiées.
Enfin, l'absence de statut protecteur pour ces correspondants au sein de l'entreprise est de nature à faire fortement douter de leur capacité d'incarner véritablement la CNIL dans l'entreprise. Si le système « n'oblige personne », pour reprendre les termes de votre argumentaire en première lecture, il est cependant clair que, pour une entreprise, la dispense d'un fichier est attractive car elle aboutit à dispenser de toute déclaration.
Pour que le système soit de nature à garantir un contrôle sérieux du correspondant, il ne suffit pas, comme vous le prétendez, monsieur le rapporteur, « de charger un employé de la tâche de correspondant de la CNIL, sensibilisé aux problèmes des données informatiques ». Il faut que ce dernier soit effectivement investi d'une mission de sauvegarde des libertés des personnes, y compris contre la collectivité locale ou l'entreprise concernée.
Or, pour ce faire, il faut que le directeur de l'informatique - dans la pratique, il y a en effet de bonnes chances que cette tâche lui soit confiée - bénéficie des garanties attachées au statut de salarié protégé. Si tel n'est pas le cas, au mieux, il exercera un travail de vérification routinière largement superficielle, au pire, il laissera passer des fichiers un peu problématiques par crainte de voir surgir des difficultés dans l'entreprise.
Selon nous, il faut veiller à ce que le correspondant ne serve pas de « caution démocratique » à l'entreprise et le système de sanction a posteriori de l'entreprise qui n'aurait pas respecté les exigences de la loi nous semble insuffisant.
D'autres que moi, qui se sont récemment exprimés par voie de presse, certainement faute d'être entendus dans les débats parlementaires, ont qualifié d' «inquiétant » le flou artistique entourant le système des correspondants.
Toutes ces raisons justifient le dépôt de nos amendements. L'amendement n° 5 vise à supprimer en l'état actuel le système des correspondants CNIL. Quant aux amendements nos 6 et 7, ils tendent à mieux encadrer le système, s'agissant des fichiers en cause et du statut de ces correspondants.
M. le président. L'amendement n° 29, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Rédiger comme suit le premier alinéa du II bis du texte proposé par cet article pour l'article 22 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un Etat non membre de la Communauté européenne est envisagé. La désignation d'un correspondant à la protection des données à caractère personnel ne dispense pas le responsable du traitement des formalités prévues aux articles 25, 26 et 27 de la présente loi.
La parole est à M. Charles Gautier.
M. Charles Gautier. La création et la présence de correspondants soulèvent de nombreuses interrogations.
Cette présence n'est pas, en tant que telle, imposée par la directive. Elle s'inscrit seulement dans les conditions de simplification du dispositif général de déclaration.
Il faut certes préserver l'efficacité de la CNIL dans son bon fonctionnement, notamment lors de l'examen des dossiers, mais ce dernier objectif ne doit pas aboutir à n'avoir qu'une vision comptable ou une vision de gestionnaire. L'enjeu ne doit pas se borner à une simple question de réduction du volume de papier brassé par la CNIL.
Par ailleurs, l'institution d'un correspondant sera plus simple dans une grande société. Mais qu'en sera-t-il d'une multinationale dont le siège se situe hors de notre territoire ?
Enfin, les petites entreprises seront défavorisées car elles ne pourront que difficilement satisfaire aux conditions d'indépendance d'un correspondant à choisir au sein d'un effectif réduit.
Nous ne sommes pas les seuls à nous interroger. Je me permets de vous lire ce qu'écrit le rapporteur de l'Assemblée nationale dans son rapport de seconde lecture : « le système des correspondants est susceptible de soulever certaines difficultés qu'il convient de conserver à l'esprit : pour les autorités indépendantes tout d'abord, puisque ce régime juridique raréfie la source d'information constituée par les formulaires de déclaration et leur impose, en conséquence, de développer leurs actions de contrôle et de communication, en particulier en direction de leur réseau de correspondants, ce qui représente une charge humaine et financière certaine ; pour les correspondants ensuite, puisque ceux-ci peuvent être confrontés à des situations de conflits d'intérêts, au sein de l'entreprise, ou bien entre l'entreprise et le respect de la loi, ce qui requiert que leur indépendance soit pleinement garantie ; pour les entreprises enfin, puisque la désignation d'un correspondant « qualifié » possède un coût en termes d'embauche puis de formation continue au cours de la carrière de la personne concernée. »
Notre questionnement ne s'arrête pas là.
En effet, la rédaction adoptée par l'Assemblée nationale ne lève pas toutes les incertitudes sur l'application de cette disposition.
Elle laisse penser que le correspondant sera désigné seulement pour certains traitements de l'organisme. Il ne faudrait pas que cette institution devienne une sorte de niche à exonération. Il serait, en effet, paradoxal de prôner plus de contrôle et d'organiser dans le même temps les conditions pour s'y soustraire.
Afin de supprimer toute ambiguïté, il convient de préciser que la présence du correspondant ne dispensera pas le responsable du traitement des formalités prévues aux articles 25 et 27.
C'est le minimum que l'on est en droit d'attendre pour que le système des correspondants offre les garanties nécessaires à la protection des données à caractère personnel.
M. le président. L'amendement n° 6, présenté par M. Bret et les membres du groupe Communiste Républicain et Citoyen, est ainsi libellé :
Dans le premier alinéa du II bis du texte proposé par cet article pour l'article 22 de la loi n° 7817 du 6 janvier 1978, après les mots :
les traitements
insérer les mots :
visés au I de l'article 24
Cet amendement a déjà été défendu.
L'amendement n° 30, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
I. - Rédiger comme suit le deuxième alinéa du II bis du texte proposé par cet article pour l'article 22 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« Le correspondant est une personne bénéficiant des qualités requises pour exercer ses missions. Sa désignation ainsi que ses qualifications sont notifiées à la Commission nationale de l'informatique et des libertés. Elles sont portées à la connaissance des instances représentatives du personnel.
II.- En conséquence, rédiger comme suit le début du troisième alinéa du II bis du texte proposé par cet article pour l'article 22 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« Le correspondant tient une liste des traitements effectués...
La parole est à M. Charles Gautier.
M. Charles Gautier. L'Assemblée nationale a introduit avec justesse la référence à la notion de qualification requise par le correspondant.
Mais elle n'a pas pris soin de s'assurer que ces qualifications seront portées à la connaissance de la CNIL. Or, comme le correspondant sera agréé par la CNIL, il faudra bien que cet agrément repose sur un document faisant état des qualifications de l'intéressé.
Il s'agit d'une exigence de bon sens, qui est peut-être implicite, mais qu'il vaut mieux préciser dans le dispositif.
M. le président. L'amendement n° 7, présenté par M. Bret et les membres du groupe Communiste Républicain et Citoyen, est ainsi libellé :
Compléter in fine le deuxième alinéa du II bis du texte proposé par cet article pour l'article 22 de la loi n° 7817 du 6 janvier 1978 par une phrase ainsi rédigée :
Le correspondant bénéficie de la protection attachée à la qualité de salarié protégé.
Cet amendement a déjà été défendu.
L'amendement n° 31, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Après la deuxième phrase du troisième alinéa du II bis du texte proposé par cet article pour l'article 22 de la loi n° 7817 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés insérer la phrase suivante :
« A ce titre, il bénéficie de la protection attachée à la qualité de salarié protégé prévue par les articles L. 4251, L. 4361 du code du travail.
La parole est à M. Charles Gautier.
M. Charles Gautier. Cet amendement a pour objet d'accroître la protection des correspondants afin de les prémunir contre les éventuelles pressions qu'ils pourraient rencontrer dans l'exercice de leur mission.
Nous proposons qu'ils bénéficient du statut de salarié protégé et que cela soit explicitement inscrit dans la loi. Il s'agit d'une garantie qui leur permettra d'exercer au mieux leur mission.
On a bien pris soin de préciser que le correspondant est une personne qualifiée, et donc indépendante.
Il manque un dernier étage au dispositif pour qu'il fonctionne dans conditions acceptables.
Aussi, nous vous proposons de prévoir que le correspondant bénéficie de la protection attachée à la qualité de salarié protégé telle qu'elle est garantie dans le code du travail.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Il s'agit effectivement d'une question très importante, qui constitue l'un des points clés de ce texte. J'y suis d'autant plus attaché que je suis l'auteur de l'amendement qui a permis cette évolution.
D'abord, j'admets volontiers que l'on puisse éprouver une certaine inquiétude devant cette nouveauté, comme on peut en éprouver devant toute innovation. C'est si vrai que le garde des sceaux lui-même, quand j'avais évoqué cette question lors de la première lecture du texte, avait demandé un délai de réflexion pour envisager tous les tenants et aboutissants du processus avant de donner son aval à cette expérimentation, à cette « aventure » oserai-je dire.
Il s'agit effectivement d'une nouveauté à laquelle la CNIL va s'attacher avec passion parce qu'elle va rendre un service considérable.
Ce service peut se mesurer très simplement. Il y a environ un million de dossiers déposés à la CNIL, ce qui est à la fois beaucoup et très peu.
Le chiffre est énorme en termes de travail quotidien, harassant, routinier, largement dépourvu d'intérêt, et toutes les opérations de simplification qui seront mises en place à la CNIL grâce à ce nouveau texte permettront de réorganiser les services et de faire en sorte que le personnel se consacre à des questions plus passionnantes que l'enregistrement des déclarations.
Le chiffre est très faible si l'on considère qu'il y a, comme nous le pensons, quatre millions de dossiers en France, dont trois millions sont ni connus ni déclarés. On pourrait certes tenir le même raisonnement que tout à l'heure et décider de continuer à ne surveiller qu'un million de fichiers, tout en sachant que les trois autres nous échappent.
Les correspondants vont nous permettre de découvrir et, progressivement, de prendre en charge un certain nombre de dossiers non traités jusqu'à présent. En effet, les correspondants nous feront part de ce qu'ils découvriront à l'intérieur de leur structure : c'est ainsi que les choses se sont passées dans les pays étrangers. Progressivement, des solutions pourront donc être trouvées.
Ce dispositif me paraît très important car il s'intègre dans la chaîne que j'ai évoquée rapidement ce matin. Il n'est pas possible de donner à la CNIL de tels pouvoirs de contrôle supplémentaires sans mettre en place, en amont, une méthode pour assurer la formation et la pédagogie, sinon ce serait un piège.
Désormais, une logique existe. Dans un premier temps, il s'agit de communiquer pour expliquer à chacun quels sont ses droits et pour exposer aux responsables des traitements quels sont leurs devoirs. Dans un second temps, les correspondants, issus notamment des collectivités locales, des entreprises, des associations et des syndicats, seront en relation régulière avec la CNIL. Un travail pédagogique sera effectué pour instiller, comme l'on dit aujourd'hui, « une culture » de l'informatique et des libertés à l'intérieur du circuit de décision.
Dès lors que ce travail aura été fait, la CNIL aura toute légitimité pour procéder aux contrôles et, si elle constate que certains se montrent encore récalcitrants à la suite du contrôle, pour recourir à la coercition et aux sanctions que nous avons mises en place lors des précédentes lectures du texte.
Les correspondants représentent un segment essentiel pour la réussite de la réforme que nous entreprenons.
Des expériences existent à l'étranger, je l'ai dit ce matin. Début septembre, je passerai quelques jours en Allemagne pour prendre connaissance et tirer des enseignements de la façon de faire de nos amis allemands. La Commission doit se rendre également en Suède et aux Pays-Bas, ces pays ayant une grande avance sur le nôtre. En conjuguant leurs expériences respectives, nous devrions parvenir à mettre en place un système qui fonctionnera correctement.
Je souhaite maintenant répondre brièvement aux remarques qui ont été faites sur le plan juridique.
En premier lieu, s'agissant du champ d'application, je confirme - cela figure clairement dans le texte - que l'allégement des formalités ne s'applique pas aux traitements soumis à autorisation, qui sont par définition dangereux. A cet égard, le droit commun s'applique et cela ne pose aucune difficulté. Il n'y a donc pas d'allégement de formalités en ce qui concerne les traitements dangereux.
En second lieu, le dispositif d'allégement ne s'applique pas non plus lorsqu'il y a transfert de données personnelles à des Etats tiers, qui ne sont pas soumis au niveau de protection requis des pays membres de l'Union européenne.
En ce qui concerne le statut des correspondants, l'Assemblée nationale a apporté effectivement un certain nombre d'éléments intéressants et positifs, qu'il s'agisse de la qualification requise, de la protection des correspondants au regard des sanctions de l'employeur ou de la possibilité pour les correspondants de saisir la CNIL des difficultés qu'ils rencontrent dans l'exercice de leurs missions.
En cas de problème, la CNIL peut enjoindre le correspondant de procéder aux formalités nécessaires. Autrement dit, s'il est constaté qu'un correspondant ne joue pas le jeu, la CNIL revient au système antérieur, c'est-à-dire à l'application de la loi en vigueur jusqu'à aujourd'hui.
De même, nous savons que, en cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande ou après consultation de la CNIL.
Enfin, il est bien évident que le statut ne prévoit en aucune façon l'exclusion du recours au contrôle.
Après un, deux ou trois ans de mise en oeuvre, le dispositif permettra d'établir des comparaisons par secteur. Très concrètement, s'il est constaté, par exemple, que les correspondants dans telle entreprise ou tel secteur d'activités n'exercent pas leurs attributions de la même manière que dans les autres secteurs, une vague de contrôle sera immédiatement lancée afin de déceler les problèmes.
Les correspondants en question se verront rappeler la nécessité du respect des règles, sans quoi ils ne pourront plus bénéficier de l'allégement de formalités.
Or ce mécanisme des correspondants doit avoir un double effet. Le premier est d'assouplir et de faciliter la vie des entreprises ou des collectivités locales. Quand on sait combien de maires vivent dans l'illégalité totale à cet égard, et ce depuis des années, on voit bien que des dispositions doivent être prises. Le second effet est d'alléger le travail du personnel de la CNIL, que nous pourrons ainsi réorienter sur des questions qui nous paraissent infiniment plus graves, comme celles que j'ai évoquées ce matin. C'est pourquoi j'ai parlé d'une véritable révolution interne à la CNIL
Enfin, vous prônez à travers deux de vos amendements, monsieur Bret, le statut de salarié protégé. La commission a retenu un système facultatif, qui est conforme à la tradition française. Il s'agit non pas d'agir en force, mais de faire de la pédagogie. En bénéficiant d'un allégement de formalités, chacun reconnaîtra qu'il a intérêt à recourir au système des correspondants. Nous procédons par incitation.
Vous le savez pertinemment, si la mise en place facultative du correspondant s'accompagnait d'un statut de salarié protégé, un certain nombre d'entreprises se détourneraient du dispositif. Or tel n'est pas notre souhait.
Peut-être voulez-vous rendre obligatoire un système que vous contestez par ailleurs... Il faut être réaliste et en rester à une solution sage.
Les dispositions prévues concernant le statut des correspondants devraient être suffisantes pour garantir une évolution favorable dans 95 % à 97 % des cas. Pour le reste, nous recourons au contrôle, comme je l'ai dit.
Telle est la raison pour laquelle la commission émet un avis défavorable sur l'ensemble de ces amendements.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Cette nouvelle catégorie d'interlocuteurs que constituent les correspondants sera très utile à la CNIL, qui pourra s'appuyer sur eux non seulement pour exercer ses missions, mais également pour diffuser une culture et une pédagogie de la protection des données et pour promouvoir dans cette matière des règles d'autorégulation, ce qui me semble fondamental.
S'agissant de l'amendement n° 29, je partage bien sûr les propos de M. le rapporteur : la dispense de formalités concerne uniquement les données de droit commun, et donc pas les données sensibles.
Enfin, je vous assure que la CNIL sera pleinement associée à la préparation du décret d'application de l'article 22 de la loi du 6 janvier 1978.
Aussi, le Gouvernement émet un avis défavorable sur tous ces amendements.
M. le président. L'amendement n° 32, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Rédiger comme suit le cinquième alinéa (4°) du I du texte proposé par cet article pour l'article 25 de la loi n° 7817 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« 4° Les traitements automatisés ayant pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat, alors que les personnes en cause ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire ;
La parole est à M. Charles Gautier.
M. Charles Gautier. Par cet amendement, nous visons l'une des catégories de traitements soumis à l'autorisation préalable de la CNIL : il s'agit des traitements automatisés de données qui sont susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat, en l'absence de toute disposition législative ou réglementaire.
Notre amendement a pour objet de rétablir la rédaction initiale du projet de loi, moins restrictive que celle qui avait été adoptée par le Sénat en première lecture et que l'Assemblée nationale a confirmée en deuxième lecture.
En effet, le Sénat a procédé à une inversion complète du dispositif initial qui tendait à inclure dans le champ de l'autorisation préalable l'ensemble des traitements tendant à déterminer un profil ou une cible, par exemple les fichiers de marketing.
Le texte adopté par le Sénat limite le champ aux seuls traitements tendant à exclure une personne. II s'agit des fameuses « liste noires ».
Pour ce faire, le Sénat s'est appuyé sur les termes de la directive. Mais cette dernière ne fait qu'ouvrir une possibilité. Nous ne sommes donc pas liés par elle sur ce point.
Nous estimons que la rédaction sénatoriale offre en définitive moins de garanties que la rédaction initiale.
Par ailleurs, elle introduit des notions imprécises en droit français. En effet, si le terme de « finalités » est familier en droit des données à caractère personnel, tel n'est malheureusement pas le cas des termes se référant à la nature ou à la portée des traitements, cette dernière observation étant une reprise des déclarations du rapporteur de l'Assemblée nationale lui-même.
Telles sont les raisons qui nous incitent à souhaiter le rétablissement du texte initial du projet de loi.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. La commission émet un avis défavorable.
Tout d'abord, la directive elle-même retient le concept de « liste noire ».
Ensuite, et surtout, si cet amendement était adopté, la CNIL serait submergée par un afflux de dossiers supplémentaires. Il n'est pas nécessaire d'essayer d'alléger les formalités d'un côté si, de l'autre, on crée une lourdeur administrative qui n'est pas justifiée par un danger plus important au regard des droits.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. L'amendement n° 33, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Rédiger comme suit le neuvième alinéa (6°) du I du texte proposé par cet article pour l'article 25 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« 6° Les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui-ci des personnes, et ceux qui portent sur la totalité ou la quasi-totalité de la population de la France ;
La parole est à M. Charles Gautier.
M. Charles Gautier. Je défendrai en même temps l'amendement n° 37, qui est un amendement de coordination.
L'amendement n° 33 est relatif à la catégorie de traitements soumis à l'autorisation préalable de la CNIL.
Le texte initial du projet de loi comportait également la référence aux traitements portant sur la totalité ou la quasi-totalité de la population française. Le Sénat, en première lecture, a supprimé la référence à ces traitements en raison de l'imprécision des termes et des incertitudes juridiques qu'ils étaient susceptibles d'entraîner.
S'il est vrai qu'on ne saurait apprécier la dangerosité d'un traitement à l'aune de sa portée démographique à l'échelle nationale, on ne peut l'exclure pour autant parce que le risque de dangerosité est plus marqué.
Nous pensons simplement qu'il convient d'adopter une démarche de prévention en matière de risque, d'autant que notre amendement n° 37, qui vise le même objectif, s'inscrit dans le cadre des traitements autorisés par décret en Conseil d'Etat pris après avis de la CNIL et mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public.
Le présent amendement tend donc à rétablir la rédaction initiale du projet de loi.
A nos yeux, l'existence d'un risque de dangerosité d'un traitement de données à caractère personnel mérite d'autant plus d'être appréciée que le traitement vise la totalité ou la quasi-totalité de la population française.
La critique de l'imprécision des termes ne nous paraît pas rédhibitoire, car nous avons démontré, en défendant l'amendement précédent, que la majorité acceptait la présence de notions imprécises dans le texte du projet de loi.
Enfin, je tiens à souligner que, en supprimant cette référence, des traitements importants de données seraient, de fait, exclus de la procédure d'autorisation préalable, comme le FICOBA de la direction générale des impôts, le fichier national des étrangers du ministère de l'intérieur, le fichier national des cartes d'identité, ou encore le fichier des abonnés d'EDF et de GDF, entreprises qui ne sont pas encore privatisées à ce jour, mais cela ne saurait tarder, semble-t-il.
Face à l'importance de tels fichiers, vous comprenez qu'il nous semble important de revenir au texte initial du projet de loi.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Cette question, qui a déjà donné lieu à un débat de fond, a été tranchée par les deux assemblées.
La commission émet donc un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. L'amendement n° 8, présenté par M. Bret et les membres du groupe Communiste Républicain et Citoyen, est ainsi libellé :
Après le 8° du I du texte proposé par cet article pour l'article 25 de la loi n° 7817 du 6 janvier 1978, insérer un alinéa ainsi rédigé :
« ... ° tout traitement relatif à la vidéosurveillance
La parole est à M. Robert Bret.
M. Robert Bret. On le voit, tout concourt, dans cette nouvelle mouture de la loi du 6 janvier 1978, à minorer le contrôle en direction des fichiers publics ou privés mettant en jeu des questions de sécurité.
Ainsi, la décision de l'Assemblée nationale d'affranchir de tout contrôle les fichiers relevant de la sécurité nationale est symptomatique.
Il en est de même de la volonté d'exclure du champ d'intervention de la CNIL les fichiers de vidéosurveillance, alors même que les bandes permettent à la fois une identification des personnes et la conservation des données enregistrées.
Nous avons bien compris en première lecture, monsieur le rapporteur, qu'il y avait une volonté délibérée d'exclure de tels fichiers et que vous estimiez que ces fichiers étaient devenus si courants qu'ils étaient en fin de compte anodins.
Cette option n'est pas acceptable, selon nous, alors que, je le rappelle, dans une délibération de 1994, la CNIL a considéré que « l'enregistrement et le stockage des images collectées par la caméra de vidéosurveillance permettent de constituer un ficher de personnes ainsi filmées », et ce à l'heure où l'on peut trouver sur Internet des kits de vidéosurveillance et où ces kits sont utilisés sur certains lieux de travail, à l'insu des employés.
Notre amendement vise, dès lors, à soumettre ce type de fichiers à autorisation.
C'est une question de bon sens, me semble-t-il. Là encore, le vote conforme ne permet pas de tenir compte du bon sens.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. En réalité, il n'y a pas de vide à combler. La question est traitée. Cet amendement me paraît superflu. En effet, quand un traitement de données personnelles est greffé sur la vidéosurveillance, la CNIL est de droit compétente.
Aussi, la commission émet un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. J'ajouterai aux arguments de M. le rapporteur que les dispositions qui découlent de la loi du 21 janvier 1995 me paraissent présenter un niveau suffisamment élevé de garantie. Ce texte en soi est suffisant. Aussi, le Gouvernement émet un avis défavorable.
M. le président. L'amendement n° 34, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Après le I du texte proposé par cet article pour l'article 25 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, insérer un paragraphe I bis rédigé comme suit :
« I bis. - Des modalités particulières d'autorisation par la Commission nationale de l'informatique et des libertés, pour la mise en oeuvre des traitements visés au 5° du II de l'article 8 de la présente loi, sont définies par décret en Conseil d'Etat pris après avis motivé de la commission et publié au Journal officiel de la République française ;
La parole est à M. Charles Gautier.
M. Charles Gautier. Les données de santé figurent parmi les données sensibles bénéficiant d'une protection particulière au titre du texte proposé pour l'article 8 de la loi du 6 janvier 1978.
Or la possibilité de traitements de ces données prévue au 5° du paragraphe II de l'article 8 nécessite d'être strictement encadré.
A ce titre, nous estimons qu'une simple déclaration de ces traitements ne constitue pas une garantie suffisante. Une procédure particulière d'autorisation doit être prévue, qui nécessite a minima l'accord de la CNIL.
Compte tenu du nombre élevé de dossiers concernés - plusieurs centaines de milliers de praticiens et d'établissements de santé mettront en oeuvre de tels traitements -, cette procédure d'autorisation pourrait être simplifiée en conformité avec une ou plusieurs normes établies par la CNIL.
A la différence de la procédure de déclaration simplifiée, l'autorisation en question suppose un examen préalable, fût-il un processus très simplifié, débouchant sur un accord signifié au responsable du traitement, dès lors que la conformité du traitement à une norme établie par la CNIL a été vérifiée.
Nous proposons que la définition précise de ce processus particulier d'autorisation par la CNIL soit renvoyée à un décret en Conseil d'Etat.
Cet amendement s'inscrit également dans le contexte de l'examen du projet de loi relatif à l'assurance maladie, qui prévoit de créer un dossier médical partagé ou personnel.
Sans méconnaître l'intérêt que peut présenter la mise en place d'un tel traitement pour l'ensemble des bénéficiaires de l'assurance maladie, nous pensons que ce dispositif recèle des risques au regard des libertés fondamentales, et notamment du respect de la vie privée.
L'Office parlementaire d'évaluation des choix scientifiques et technologiques a examiné, au mois de juin dernier, le rapport de MM. Jean Dionis du Séjour et Jean-Claude Etienne sur « Les télécommunications à haut débit et Internet au service du système de santé ». M. Dionis du Séjour avait alors observé que l'insertion d'un dispositif propre au dossier médical partagé ou personnel dans la loi relative à l'informatique, aux fichiers et aux libertés permettrait de résoudre les problèmes de coordination entre les règles protectrices du patient et les règles de déontologie.
Avec cet amendement, nous vous en donnons les moyens, mes chers collègues. C'est la raison pour laquelle il serait très utile de l'adopter.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Cet amendement ne va pas dans le bon sens. Une grande partie des traitements que vous évoquez, monsieur Gautier, ne relève pas du régime d'autorisation.
Actuellement, la CNIL est en train d'élaborer une norme simplifiée dans ce domaine, qui entrera probablement en vigueur au mois de septembre. C'est bien la preuve que l'on n'est pas dans un domaine où règne la règle de l'autorisation.
Je rappelle également la lourdeur du système, monsieur Gautier, puisque la France compte tout de même 100 000 professionnels de la santé. Dès lors, on peut imaginer la paralysie à laquelle pourrait conduire l'adoption de votre amendement.
Dans ces conditions, la commission émet un avis défavorable sur cet amendement.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. L'amendement n° 35, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Dans le II du texte proposé par cet article pour l'article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, remplacer les mots :
motivé et publié
par le mot :
conforme
L'amendement n° 36, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Rédiger comme suit le début du III du texte proposé par cet article pour l'article 26 de la loi n° 7817 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
Certains traitements qui portent sur des données mentionnées au 1° du I du présent article peuvent être dispensés...
La parole est à M. Charles Gautier, pour présenter ces deux amendements.
M. Charles Gautier. Avec l'amendement n° 35, nous abordons la question des traitements de souveraineté portant sur des données sensibles. C'est une question importante au regard des enjeux.
Le projet de loi prévoit que les traitements portant sur des données sensibles, c'est-à-dire les données religieuses, raciales, politiques, philosophiques, celles qui portent sur les appartenances syndicales, la santé et la vie sexuelle par exemple, doivent être autorisés par décret en Conseil d'Etat pris après avis motivé de la CNIL, qui doit être publié avec le décret.
Or, actuellement, ces traitements sont régis par les dispositions de l'article 31 de la loi du 6 janvier 1978, qui prévoient un avis conforme de la CNIL.
Nous ne partageons pas du tout l'approche qui a été présentée sur cette disposition.
En effet, comment peut-on soutenir que la publication de l'avis sera de nature à assurer le maintien d'un haut niveau de garanties et, en tout état de cause, préservera la portée qui doit s'attacher aux interventions d'une autorité administrative indépendante à l'égard de traitements particulièrement sensibles ?
Alors qu'il s'agit des traitements de données à haut risque, en quoi une garantie qui consiste à publier un texte valant autorisation, qui reste indifférent à l'opinion voisine pouvant lui être opposée, peut-elle être cohérente ?
Comment ne pas y voir la volonté affichée de se libérer de l'influence ou du pouvoir de persuasion d'une autorité indépendante ?
N'est-ce pas préférer au débat les polémiques stériles en prenant à témoin une opinion incrédule lorsqu'elle constatera que le traitement aura été créé et les textes qui l'organisent publiés ?
De manière explicite, on offre une transparence qui, en pratique, met fin au dialogue, en évitant le débat.
On ne peut également admettre la suppression de la procédure qui permet au Gouvernement de passer outre l'avis défavorable de la CNIL par un décret pris sur avis conforme du Conseil d'Etat.
Nous attendons justement de la CNIL qu'elle joue pleinement son rôle lorsqu'elle juge cela nécessaire. C'est l'honneur de cette institution. C'est ainsi qu'elle renforce son autorité morale. Les conflits répétés entre la CNIL et certaines administrations sont des situations qui vont de pair avec la nature même de ce que doit représenter une autorité publique indépendante.
Les traitements de souveraineté sont exclus du champ de la directive. Il nous importe donc que les dispositions existantes en matière de protection des données soient au moins conservées. Nous avons la liberté de faire ce choix. Saisissons-la !
Avec cet amendement, nous vous proposons, mes chers collègues, de rétablir le dispositif en vigueur, qui prévoit un avis conforme de la CNIL pour les traitements portant sur les données sensibles.
L'amendement n° 36 concerne également les traitements de souveraineté.
Le paragraphe III de l'article 26 prévoit qu'un décret en Conseil d'Etat peut dispenser de publication de l'acte réglementaire les autorisant les traitements relevant de la souveraineté de l'Etat. Cette dispense ne concerne actuellement que certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique.
Or le projet de loi étend cette possibilité aux traitements ayant pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté et portant sur des données dites sensibles.
Cette généralisation est excessive, s'agissant de la dispense de publication pour des traitements potentiellement dangereux.
Elle ne peut être compensée en termes de garantie par le fait que le projet de loi prévoit désormais la publication du « sens de l'avis émis » par la CNIL, concomitamment au décret autorisant la dispense de publication de l'acte réglementaire.
Dans la logique de l'amendement précédent, nous vous proposons, mes chers collègues, d'adopter cet amendement, qui a pour objet de s'en tenir au droit en vigueur, en reprenant les termes de l'actuel article 20 de la loi du 6 janvier 1978 prévoyant qu'un décret en Conseil d'Etat peut dispenser de publication l'acte réglementaire autorisant les seuls traitements relatifs à la sûreté de l'Etat, à la défense ou à la sécurité publique.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Sincèrement, vous y allez un peu fort, monsieur Gautier. Cette question a déjà été vue et revue.
Je ferai un bref rappel historique.
A l'origine, cette disposition se trouve dans le texte du gouvernement de Lionel Jospin, approuvée par le rapporteur socialiste, M. Gouzes. Comme vous l'avez rappelé, monsieur Gautier, la CNIL - dont le vice-président était M. Forni - a officiellement rendu un avis qui n'était pas fondamentalement défavorable. Puis, cette disposition a été votée en janvier 2002 par l'Assemblée nationale, sous la présidence de M. Forni. Or, au cours des lectures successives par l'Assemblée nationale et le Sénat, vous n'avez jamais rien proposé de tel ! C'est au cours de la deuxième lecture par le Sénat que vous déposez cet amendement. Voilà qui est tout de même quelque peu surprenant.
Sur le fond, la CNIL a considéré que, en tant qu'autorité administrative indépendante, son poids n'était pas inférieur si l'on publiait son avis plutôt que si l'on recourrait à l'ancienne procédure. Nous considérons, pour notre part, que le niveau de protection n'est pas abaissé pour autant. Sincèrement, je pense que cet amendement fleure le politique, monsieur Gautier.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Ce rappel historique est conforme à la vérité. Le Gouvernement est également défavorable à cet amendement.
M. le président. L'amendement n° 37, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Compléter comme suit le 1° du I du texte proposé par cet article pour l'article 27 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
ou qui porte sur la totalité ou la quasi-totalité de la population de la France
Cet amendement n'a plus d'objet.
M. Charles Gautier. Effectivement, monsieur le président.
M. le président. L'amendement n° 38, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Compléter comme suit le III du texte proposé par cet article pour l'article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés par une phrase ainsi rédigée :
Elle publie également les résolutions du Parlement européen qui s'y rapportent.
La parole est à M. Charles Gautier.
M. Charles Gautier. Cet amendement me donne surtout l'occasion de revenir sur l'accord relatif au fichage des passagers des vols transatlantiques, qui a été signé entre les Etats-Unis et l'Union européenne, et qui concerne le transfert des données dites PNR par les transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure.
La position de la CNIL sur cet accord a de quoi nous alarmer.
Elle juge que la transmission de ces données constitue, un détournement de la finalité du traitement informatique dans la mesure où ces données ont été collectées à des fins commerciales, et non pour des raisons de sécurité.
Certaines informations sont de nature à porter atteinte à la vie privée des personnes concernées. Elles font partie des données sensibles.
Enfin, la CNIL juge que la transmission de données vers un pays tiers ne peut s'effectuer qu'à condition que celui-ci offre un niveau adéquat de protection de ces informations, ce qui n'est pas le cas des Etats-Unis.
La Commission en conclut que cette transmission est illégale au regard tant de la loi en vigueur du 6 janvier 1978 que de la législation européenne en matière de protection des données personnelles.
Enfin, la Commission préconise que les personnes concernées soient informées, dès la collecte, de l'objet spécifique du traitement aux Etats-Unis ainsi que des destinataires des données.
Madame la secrétaire d'Etat, avons-nous la capacité d'appliquer ces dernières dispositions ?
Par ailleurs, pour quelles raisons le Gouvernement n'a-t-il pas suffisamment dénoncé cet accord ? Dans le contexte difficile de lutte contre le terrorisme, avez-vous craint, madame la secrétaire d'Etat, de nous faire passer pour un pays vraiment anti-américain ?
Le Président de la République avait déclaré, en mai dernier, à propos de cet accord : « Dans le défi lancé à nos démocraties, c'est seulement dans le respect de nos valeurs que nous gagnerons le combat. »
Les délégations pour l'Union européenne du Sénat et de l'Assemblée nationale ont discrètement alerté le Gouvernement sur les dangers d'un tel accord.
Au sein du groupe socialiste, notre collègue Bernard Frimat a fait part de ses préoccupations lors de la transmission de cet accord, par voie écrite, au début du mois d'avril. Il a même adressé une question écrite, demeurée sans réponse à ce jour.
Comme vous le savez, mes chers collègues, le Parlement européen s'est également indigné de cet accord à travers plusieurs résolutions, dont la Commission et le Conseil n'ont absolument pas tenu compte.
Le Parlement a également saisi la Cour de justice des Communautés européennes le 16 juin dernier. Nous sommes dans l'attente et nous suivrons avec intérêt ce recours.
Cet amendement a donc bien là tout son sens. En effet, les citoyens européens doivent être informés des décisions que prend le Parlement sur un sujet aussi important que la protection de leurs données personnelles.
Je me permets de poser à M. le rapporteur et à Mme la secrétaire d'Etat quelques questions.
Monsieur le rapporteur et président de la CNIL, quel est le pouvoir d'action réel de la CNIL face à une telle situation ?
Madame la secrétaire d'Etat, quelles sont les conditions d'application de cet accord pour nos concitoyens qui sont concernés, s'agissant notamment de leur information, et comment seront contrôlés le respect des engagements américains, en particulier sur la suppression des données sensibles, sur le filtrage des données, et la durée de leur conservation ?
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. En réalité, vous avez fait un amalgame, monsieur Gautier, entre une question parlementaire et un amendement.
Par l'amendement n° 38, vous souhaitez que la CNIL publie désormais les résolutions du Parlement européen. Prévoir une telle disposition ne relève pas du domaine de la loi.
Toutefois, la CNIL le fait déjà, notamment lorsqu'elle estime qu'il s'agit d'un sujet grave. Il se trouve que le dernier sujet grave sur lequel elle a publié une résolution du Parlement européen, c'est celui que vous évoquez. C'est vous dire à quel point nous sommes dans l'actualité, monsieur Gautier.
La CNIL a effectivement publié cette résolution du Parlement européen parce qu'elle n'est pas satisfaite. Elle considère que la position de la Commission européenne pose de grandes difficultés. Le combat est engagé.
Je vous ferai simplement observer, monsieur Gautier, que le dossier n'est pas bouclé. Comme vous l'avez dit, la Cour de justice des Communautés européennes est saisie de cette question et nous attendons sa réponse.
Par ailleurs, des questions particulièrement importantes doivent être traitées, notamment pour ce qui concerne la manière dont les informations seront récupérées par les Etats-Unis en amont ou en aval, peu importe, parce que ce sont là des problèmes purement techniques.
Enfin, dans une négociation plus large qui inclura d'autres pays extérieurs à l'Union européenne et au territoire des Etats-Unis, nous pouvons imaginer procéder à un certain nombre d'améliorations.
Je rappelle, enfin, que, sous la pression du gouvernement français et d'autres gouvernements de l'Union européenne, ainsi que sous celle des autorités de contrôle national des pays respectifs, nous avons tout de même réussi à limiter et à réduire le champ des données sensibles concernées, puisque nous sommes passés d'une quarantaine à quelque trente-quatre, en enlevant les plus délicates d'entre elles.
Je le reconnais volontiers, il y a encore du travail à faire. Voilà un exemple des questions qui sont actuellement pendantes. Le combat est engagé, rien n'est clos.
S'agissant de l'amendement n° 38, la commission y est défavorable puisque, dans la pratique, la CNIL fait ce que vous souhaitez, monsieur Gautier.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Le Gouvernement émet un avis défavorable.
Bien que la question que vous me posez, monsieur le sénateur, soit sans rapport avec le texte de votre amendement, je vais tâcher d'y répondre : la Commission européenne a négocié cet accord avec les Etats-Unis et obtenu plusieurs garanties, relatives, notamment, à la durée de conservation des données et à l'information de la personne concernée. Je vous garantis que nous veillerons à la bonne application de cet accord et à sa bonne exécution.
M. le président. Je mets aux voix l'article 4.
(L'article 4 est adopté.)
Article 5
Le chapitre V de la loi no 78-17 du 6 janvier 1978 précitée est intitulé : « Obligations incombant aux responsables de traitements et droits des personnes ». Ce chapitre comprend les articles 32 à 42 ainsi que l'article 40, qui devient l'article 43. Il comprend deux sections ainsi rédigées :
« Section 1
« Obligations incombant aux responsables de traitements
« Art. 32. - I. - La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :
« 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
« 2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
« 3° Du caractère obligatoire ou facultatif des réponses ;
« 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
« 5° Des destinataires ou catégories de destinataires des données ;
« 6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ;
« 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.
« Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.
« I bis. - Toute personne utilisatrice des réseaux de communications électroniques doit être informée de manière claire et complète par le responsable du traitement ou son représentant :
« - de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
« - des moyens dont elle dispose pour s'y opposer.
Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
« - soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
« - soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.
« II. - Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.
« Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l'article 7 bis de la loi no 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques. Ces dispositions ne s'appliquent pas non plus lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.
« II bis. - Si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.
« III. - Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au II et utilisées lors d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.
« IV. - Les dispositions du présent article ne s'appliquent pas aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales.
« Art. 33 à 35. - Non modifiés.
« Art. 36. - Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l'article 6 qu'en vue d'être traitées à des fins historiques, statistiques ou scientifiques ; le choix des données ainsi conservées est opéré dans les conditions prévues à 1'article L. 212-4 du code du patrimoine.
« Les traitements dont la finalité se limite à assurer la conservation à long terme de documents d'archives dans le cadre du livre II du même code sont dispensés des formalités préalables à la mise en oeuvre des traitements prévues au chapitre IV de la présente loi.
« Il peut être procédé à un traitement ayant des finalités autres que celles mentionnées au premier alinéa :
« - soit avec l'accord exprès de la personne concernée ;
« - soit avec l'autorisation de la Commission nationale de l'informatique et des libertés ;
« - soit dans les conditions prévues au 6° du II et au III de l'article 8 s'agissant de données mentionnées au I de ce même article.
« Art. 37. - Les dispositions de la présente loi ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi no 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal et des dispositions du livre II du code du patrimoine.
« En conséquence, ne peut être regardé comme un tiers non autorisé au sens de l'article 34 le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques exercé conformément à la loi no 78-753 du 17 juillet 1978 précitée et au livre II du même code.
« Section 2
« Droits des personnes à l'égard des traitements de données à caractère personnel
« Art. 38. - Non modifié.
« Art. 39. - I. - Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir :
« 1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;
« 2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
« 2° bis Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ;
« 3° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;
« 4° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle.
« Une copie des données à caractère personnel est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction.
« En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.
« II. - Le responsable du traitement peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.
« Les dispositions du présent article ne s'appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au second alinéa de l'article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d'autorisation ou dans la déclaration adressée à la Commission nationale de l'informatique et des libertés.
« Art. 40. - Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.
« Lorsque l'intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.
« En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.
« Lorsqu'il obtient une modification de l'enregistrement, l'intéressé est en droit d'obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l'article 39.
« Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.
« Les héritiers d'une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l'objet d'un traitement n'ont pas été actualisées, exiger du responsable de ce traitement qu'il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence.
« Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.
« Art. 41 et 42. - Non modifiés. ».
M. le président. L'amendement n° 39, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Dans le premier alinéa du I bis du texte proposé par cet article pour l'article 32 de la loi n° 7817 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, après les mots :
doit être
insérer les mots :
, au préalable ,
La parole est à M. Charles Gautier.
M. Charles Gautier. Nous proposons, avec cet amendement, d'améliorer le régime concernant les témoins de connexion.
Le dispositif du projet de loi prévoyait que le recours aux cookies était autorisé si l'abonné ou l'utilisateur avait reçu, « au préalable, une information claire et complète sur les finalités du traitement et sur les moyens dont il disposait pour s'y opposer » .
En première lecture, le Sénat en a substantiellement modifié la rédaction. Il a, en particulier, supprimé le caractère préalable des informations devant être fournies à l'internaute.
Considérant que ce caractère préalable offre à celui-ci une meilleure garantie d'information sur l'existence et l'usage de cette catégorie de données, nous proposons de le rétablir.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. L'amendement n° 40, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Dans la dernière phrase du second alinéa du II du texte proposé par cet article pour l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, après le mot :
ou
insérer les mots :
, pour les traitements visés au présent alinéa,
La parole est à M. Charles Gautier.
M. Charles Gautier. Il s'agit d'un amendement de précision.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Je profite de l'occasion pour préciser - parce que j'ai cru comprendre qu'il y avait une ambiguïté sur ce point - que les informations qui sont communiquées par le responsable du traitement aux personnes dont on recueille les données n'ont pas à être fournies lorsqu'elles sont obtenues par le biais d'un questionnaire, ce qui est un cas courant.
Diverses modalités sont bien entendu possibles, notamment les notices d'information.
Enfin, il ne peut en aucun cas s'agir d'une dispense.
La commission émet un avis défavorable sur cet amendement.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. L'amendement n° 41, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Rédiger comme suit le cinquième alinéa du texte proposé par cet article pour l'article 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« Si une donnée a été transmise a un tiers, le responsable du traitement notifie les opérations qu'il a effectuées conformément au premier alinéa sauf lorsque cette obligation s'avère impossible ou suppose un effort disproportionné.
La parole est à M. Charles Gautier.
M. Charles Gautier. L'article 38 en vigueur de la loi du 6 janvier 1978 prévoit, dans le cas de transmission de données à un tiers, une obligation de résultat, la rectification ou l'annulation des données devant être notifiées, sauf dispense de la CNIL.
La directive transforme cette obligation de résultat en obligation de moyens. Ce choix répond à une préoccupation pratique évidente, même si, en définitive, il s'agit d'un recul par rapport au droit actuel.
Par cet amendement, il est néanmoins proposé de mieux encadrer cette obligation, en restant, bien entendu, fidèle au texte de l'article 12 de la directive.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Il est question, dans le projet de loi, de « diligences utiles », ce qui nous semble suffisant : l'avis de la commission est donc défavorable.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. Je mets aux voix l'article 5.
(L'article 5 est adopté.)
Article 6
Le chapitre VI de la loi no 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« CHAPITRE VI
« Le contrôle de la mise en oeuvre des traitements
« Art. 44. - I. - Les membres de la Commission nationale de l'informatique et des libertés ainsi que les agents de ses services habilités dans les conditions définies au troisième alinéa de l'article 19 ont accès, de 6 heures à 21 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d'un traitement de données à caractère personnel et qui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.
« Le procureur de la République territorialement compétent en est préalablement informé.
« II. - En cas d'opposition du responsable des lieux, la visite ne peut se dérouler qu'avec l'autorisation du président du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter ou du juge délégué par lui.
« Ce magistrat est saisi à la requête du président de la commission. Il statue par une ordonnance motivée, conformément aux dispositions prévues aux articles 493 à 498 du nouveau code de procédure civile. La procédure est sans représentation obligatoire.
« La visite s'effectue sous l'autorité et le contrôle du juge qui l'a autorisée. Celui-ci peut se rendre dans les locaux durant l'intervention. A tout moment, il peut décider l'arrêt ou la suspension de la visite.
« III. - Les membres de la commission et les agents mentionnés au premier alinéa du I peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie ; ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles ; ils peuvent accéder aux programmes informatiques et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.
« Ils peuvent, à la demande du président de la commission, être assistés par des experts désignés par l'autorité dont ceux-ci dépendent.
« Seul un médecin peut requérir la communication de données médicales individuelles incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou à la gestion de service de santé, et qui est mis en oeuvre par un membre d'une profession de santé.
« Il est dressé contradictoirement procès-verbal des vérifications et visites menées en application du présent article.
« IV. - Pour les traitements intéressant la sûreté de l'Etat et qui sont dispensés de la publication de l'acte réglementaire qui les autorise en application du III de l'article 26, le décret en Conseil d'Etat qui prévoit cette dispense peut également prévoir que le traitement n'est pas soumis aux dispositions du présent article ».
M. le président. L'amendement n° 42, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Supprimer le IV du texte proposé par cet article pour l'article 44 de la loi n° 7817 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
La parole est à M. Charles Gautier.
M. Charles Gautier. Le fait que des fichiers à haut risque pour les libertés puissent échapper au contrôle jusqu'à présent considéré comme normal caractérise un niveau moindre de garantie et de protection. Cette dérogation exceptionnelle aboutit à exempter certains traitements sensibles des pouvoirs de vérifications sur place et sur pièces réservés aux membres et agents de la CNIL.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Cette question étant très délicate, il faut prendre la peine de bien dissiper l'ambiguïté.
Le contrôle de ces fichiers ne pouvant être traité comme celui de fichiers relevant du cas général, il est donc prévu, dans le texte, que le contrôle ne pourra pas s'appliquer dans les mêmes conditions. Mais, comme je l'ai dit ce matin, de toute façon, ce contrôle n'avait pas lieu : depuis vingt-six ans, jamais la CNIL n'a procédé à un seul contrôle de ces deux fichiers, quelles qu'aient été les sensibilités politiques de ses présidents successifs. On ne peut donc pas dire qu'il va y avoir un abaissement du niveau de garde en la matière.
Il s'agit d'un dossier extrêmement délicat, touchant à des coopérations internationales, dans des domaines très sensibles. Chacun peut admettre en conscience qu'il ne peut être traité de la même manière que des fichiers plus courants.
Enfin, et je tiens à dissiper une ambiguïté. Vous laissiez entendre à l'instant, sans doute de manière involontaire, que les contrôles opérés par certains membres de la CNIL ne pourraient plus se faire. Or c'est inexact : le droit d'accès indirect est maintenu. Donc, si un contrôle ne peut pas être opéré au sens où vous l'entendiez, rien n'empêche un concitoyen de s'adresser à la CNIL pour qu'un accès indirect soit opéré par l'un des membres de la CNIL doté du statut de magistrat, qui ira tout naturellement vérifier les données en question.
De ce point de vue, il n'y a donc aucun abaissement du niveau de protection des libertés. Je tenais à le rappeler, parce que ce bruit qui court est dépourvu de tout fondement.
L'avis de la commission est donc défavorable.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Cette restriction des pouvoirs d'investigation et d'accès de la CNIL étant très limitée, nous émettons également un avis défavorable.
M. le président. Je mets aux voix l'article 6.
(L'article 6 est adopté.)
Article 7
Le chapitre VII de la loi no 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« CHAPITRE VII
« Sanctions prononcées par la Commission nationale de l'informatique et des libertés
« Art. 45. - I. - La Commission nationale de l'informatique et des libertés peut prononcer un avertissement à l'égard du responsable d'un traitement qui ne respecte pas les obligations découlant de la présente loi. Elle peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu'elle fixe.
« Si le responsable d'un traitement ne se conforme pas à la mise en demeure qui lui est adressée, la commission peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :
« 1° Une sanction pécuniaire, dans les conditions prévues par l'article 47, à l'exception des cas où le traitement est mis en oeuvre par l'Etat ;
« 2° Une injonction de cesser le traitement, lorsque celui-ci relève des dispositions de l'article 22, ou un retrait de l'autorisation accordée en application de l'article 25.
« II. - En cas d'urgence, lorsque la mise en oeuvre d'un traitement ou l'exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l'article 1er, la commission peut, après une procédure contradictoire :
« 1° Décider l'interruption de la mise en oeuvre du traitement, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui sont mentionnés au I et au II de l'article 26, ou de ceux mentionnés à l'article 27 mis en oeuvre par l'Etat ;
« 1°bis Décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui sont mentionnés au I et au II de l'article 26 ;
« 2° Informer le Premier ministre pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui sont mentionnés au I et au II de l'article 26 ; le Premier ministre fait alors connaître à la commission les suites qu'il a données à cette information au plus tard quinze jours après l'avoir reçue.
« III. - En cas d'atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er, le président de la commission peut demander, par la voie du référé, à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.
« Art. 46. - Les sanctions prévues au I et au 1° du II de l'article 45 sont prononcées sur la base d'un rapport établi par l'un des membres de la Commission nationale de l'informatique et des libertés, désigné par le président de celle-ci parmi les membres n'appartenant pas à la formation restreinte. Ce rapport est notifié au responsable du traitement, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la commission mais ne prend pas part à ses délibérations. La commission peut entendre toute personne dont l'audition lui paraît susceptible de contribuer utilement à son information.
« La commission peut rendre publics les avertissements qu'elle prononce. Elle peut également, en cas de mauvaise foi du responsable du traitement, ordonner l'insertion des autres sanctions qu'elle prononce dans des publications, journaux et supports qu'elle désigne. Les frais sont supportés par les personnes sanctionnées.
« Les décisions prises par la commission au titre de l'article 45 sont motivées et notifiées au responsable du traitement. Les décisions prononçant une sanction peuvent faire l'objet d'un recours de pleine juridiction devant le Conseil d'Etat.
« Art. 47 à 49. - Non modifiés. »
M. le président. L'amendement n° 43, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Dans le dernier alinéa (2°) du I du texte proposé par cet article pour l'article 45 de la loi n° 7817 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés après le mot :
traitement,
insérer les mots :
ou de procéder à sa destruction,
La parole est à M. Charles Gautier.
M. Charles Gautier. Le Sénat a supprimé la possibilité offerte à la CNIL de détruire le traitement de données. Il convient de rétablir cette possibilité en raison de sa force de dissuasion et de la rapidité de sa mise en oeuvre.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Une telle mesure est extrêmement grave. Sur le fond, il est permis de considérer que ce mécanisme est tout à fait excessif. Puisqu'il existe une procédure de verrouillage déjà très pénalisante, je ne vois pas l'intérêt d'aller jusqu'à la destruction des données, par définition irréversible, d'autant qu'il est préférable de laisser au juge le soin de l'ordonner s'il l'estime nécessaire.
Le mécanisme est assez équilibré. Dans ces conditions, la commission émet un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
Mme Nicole Guedj, secrétaire d'Etat. Ces mesures de destruction devant, à notre sens, rester soumises à l'appréciation du juge judiciaire, l'avis du Gouvernement est défavorable.
M. le président. L'amendement n° 44, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Dans le dernier alinéa (2°) du II du texte proposé par cet article pour l'article 45 de la loi n° 7817 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, après le mot :
commission
insérer les mots :
et rend publiques
La parole est à M. Charles Gautier.
M. Charles Gautier. L'exigence de publicité de l'action du Premier ministre est d'autant plus justifiée qu'il s'agit d' un cas d'urgence portant sur un traitement de souveraineté dont l'application entraîne une violation des droits et libertés mentionnés à l'article 1er de la loi. La publication envisagée dans le rapport d'activité annuel est totalement inadaptée en la circonstance. C'est pourquoi nous proposons cet amendement.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Cette question a déjà été tranchée lors des débats précédents : nous considérons que le Premier ministre doit être libre d'agir, d'autant que ces questions peuvent être délicates, puisqu'elles touchent au terrorisme ou à la sûreté de l'Etat.
Mieux vaut être mesuré et prudent en la matière. L'avis de la commission est donc défavorable.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. Je mets aux voix l'article 7.
(L'article 7 est adopté.)
Article 8
La loi no 78-17 du 6 janvier 1978 précitée est complétée par un chapitre VIII ainsi rédigé :
« CHAPITRE VIII
« Dispositions pénales
« Art. 50. Non modifié.
« Art. 51. - Est puni d'un an d'emprisonnement et de 15 000 ? d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés :
« 1° Soit en s'opposant à l'exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l'article 19 ;
« 2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l'article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;
« 3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu'il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.
« Art. 52. - Non modifié. » - (Adopté.)
Article additionnel après l'article 10
M. le président. L'amendement n° 9, présenté par M. Bret et les membres du groupe Communiste Républicain et Citoyen, est ainsi libellé :
Après l'article 10, insérer un article additionnel ainsi rédigé :
Le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques destiné à permettre l'identification des personnes est remplacé par un numéro non signifiant.
Ce numéro ne peut faire l'objet d'un traitement ou de toute autre utilisation, autres que ceux déjà existants et autorisés, qu'aux seules fin d'éviter les erreurs d'identité.
Les conditions d'application du présent article sont fixées par décret en Conseil d'Etat après avis de la commission.
La parole est à M. Robert Bret.
M. Robert Bret. Le présent amendement ayant déjà été présenté en première lecture, je n'en développerai donc que brièvement l'objet.
Il vise à transformer le NIR, le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, en un identifiant non signifiant.
En effet, j'aurais tendance à dire que « chat échaudé craint l'eau froide » : en 1974, le projet SAFARI devait permettre à l'administration de disposer des informations enregistrées sur une même personne à partir d'un identifiant unique ; ce projet tentaculaire est, on le sait, à l'origine directe de la loi de 1978, dont l'objet était de garantir la protection des libertés.
Or, les dispositions du présent texte, comme celles de textes de même nature - je pense au dossier médical personnel - sont le reflet d'une certaine tentation de l'administration de regrouper sous un identifiant unique quantité d'informations sur les personnes physiques.
S'agissant du NIR, particulièrement bien placé, aux dires mêmes de la CNIL, pour « une utilisation non contrôlée susceptible d'entraîner l'engagement d'actions selon des critères discriminants et non légitimes », il est grand temps que, à l'instar d'autres pays comme les Pays-Bas ou la Grande-Bretagne, le NIR deviennent un identifiant aléatoire et non signifiant, de façon à garantir l'identité des personnes et à éviter les homonymies.
Une telle évolution irait d'ailleurs dans le sens de la directive 95/46, dont nous sommes chargés d'assurer la transposition aujourd'hui et aux termes de laquelle il est prévu de répertorier dans des catégories particulières les données sensibles et celles qui concernent les infractions.
Là encore, il s'agit non de tomber dans la paranoïa, mais de créer toutes les conditions de nature à éviter les dérives, comme nous y appelle justement la CNIL dans ses recommandations sur le NIR.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Cette disposition a déjà été débattue puis rejetée au cours de la lecture précédente de ce projet de loi.
Il faut bien être conscient que cette proposition entraînerait un véritable bouleversement, qui ne peut pas être traité lors d'une deuxième lecture, à l'occasion de l'examen d'un amendement.
L'avis de la commission est donc défavorable.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. Je mets aux voix l'amendement n° 9.
(L'amendement n'est pas adopté.)
Article 11
La loi n° 78-17 du 6 janvier 1978 précitée est complétée par un chapitre XI ainsi rédigé :
« CHAPITRE XI
« Traitements de données à caractère personnel aux fins de journalisme et d'expression littéraire et artistique
« Art. 67. - Le 5° de l'article 6, les articles 8, 9, 22, les 1° et 3° du I de l'article 25, les articles 32, 39, 40 et 68 à 70 ne s'appliquent pas aux traitements de données à caractère personnel mis en oeuvre aux seules fins :
« 1° D'expression littéraire et artistique ;
« 2° D'exercice, à titre professionnel, de l'activité de journaliste, dans le respect des règles déontologiques de cette profession.
« Toutefois, pour les traitements mentionnés au 2°, la dispense de l'obligation de déclaration prévue par l'article 22 est subordonnée à la désignation par le responsable du traitement d'un correspondant à la protection des données appartenant à un organisme de la presse écrite ou audiovisuelle, chargé de tenir un registre des traitements mis en oeuvre par ce responsable et d'assurer, d'une manière indépendante, l'application des dispositions de la présente loi. Cette désignation est portée à la connaissance de la Commission nationale de l'informatique et des libertés.
« En cas de non-respect des dispositions de la loi applicables aux traitements prévus par le présent article, le responsable du traitement est enjoint par la Commission nationale de l'informatique et des libertés de se mettre en conformité avec la loi. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés.
« Les dispositions des alinéas précédents ne font pas obstacle à l'application des dispositions du code civil, des lois relatives à la presse écrite ou audiovisuelle et du code pénal, qui prévoient les conditions d'exercice du droit de réponse et qui préviennent, limitent, réparent et, le cas échéant, répriment les atteintes à la vie privée et à la réputation des personnes. » - (Adopté.)
TITRE II
DISPOSITIONS MODIFIANT D'AUTRES TEXTES LÉGISLATIFS
Article 15 quater
[Pour coordination]
I et II. - Non modifiés.
III. - Dans la première phrase du dernier alinéa de l'article L. 262-33 du code de l'action sociale et des familles, la référence : « à l'article 15 » est remplacée par la référence : « au chapitre IV ».
IV à VII. - Non modifiés.
VIII. - Dans le dernier alinéa de l'article L. 115-2 du code de la sécurité sociale, la référence : « l'article 15 » est remplacée par la référence : « l'article 27 ».
IX à XI. - Non modifiés. - (Adopté.)
Article 15 quinquies
I. - Dans l'article L. 262-51 du code de l'action sociale et des familles, les mots : « de l'article 15 » sont remplacés par les mots : « du chapitre IV ».
II. - Dans le premier alinéa de l'article 60-2 du code de procédure pénale, les mots : « de l'article 31 et à l'article 33 » sont remplacés par les mots : « du 2° du II de l'article 8 et au 2° de l'article 67 ».
III. - Dans le premier alinéa de l'article 706-53-11 du code de procédure pénale, la référence : « 19 » est remplacée par la référence : « 30 ».
IV. - Dans la deuxième phrase du troisième alinéa de l'article L. 1111-8 du code de la santé publique, la référence : « 29 » est remplacée par la référence : « 34 ».
V. - Dans le dernier alinéa de l'article L. 115-7 du code de la sécurité sociale, les mots : « autorisée dans les conditions prévues à l'article 15 » sont remplacés par les mots : « selon les modalités prévues au chapitre IV ».
VI. - L'avant-dernier alinéa de l'article L. 161-28-1 du code de la sécurité sociale est ainsi rédigé :
« Cet arrêté est pris après avis motivé de la Commission nationale de l'informatique et des libertés. »
VII. - Le début du septième alinéa de l'article 7 bis de la loi no 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques est ainsi rédigé : « Les cessions portant sur des données à caractère personnel, telles qu'elles sont définies à l'article 2 de la loi... (le reste sans changement). »
VIII. - L'article L. 212-4 du code du patrimoine est ainsi modifié :
1° Le premier alinéa est ainsi rédigé :
« Lorsque les documents visés à l'article L. 211-4 comportent des données à caractère personnel collectées dans le cadre de traitements automatisés régis par la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ces données font l'objet, à l'expiration de la durée prévue au 5° de l'article 6 de ladite loi, d'un tri pour déterminer les données destinées à être conservées et celles, dépourvues d'intérêt scientifique, statistique ou historique, destinées à être détruites. » ;
2° Dans le dernier alinéa, les mots : « d'informations » sont remplacés par les mots : « de données ».
IX. - Dans le dernier alinéa de l'article L. 333-4 du code de la consommation, la référence : « 35 » est remplacée par la référence : « 39 ». - (Adopté.)
Article 15 sexies
La première phrase de l'article 24 de la loi no 2003-239 du 18 mars 2003 pour la sécurité intérieure est remplacée par deux phrases ainsi rédigées :
« Les données contenues dans les traitements automatisés de données à caractère personnel gérés par les services de police et de gendarmerie nationales peuvent être transmises, dans le cadre des engagements internationaux régulièrement introduits dans l'ordre juridique interne, à des organismes de coopération internationale en matière de police judiciaire ou à des services de police étrangers, qui représentent un niveau de protection suffisant de la vie privée, des libertés et des droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet. Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées. »
M. le président. L'amendement n° 45, présenté par M. C. Gautier et les membres du groupe Socialiste, apparenté et rattachée, est ainsi libellé :
Supprimer cet article.
La parole est à M. Charles Gautier.
M. Charles Gautier. Il est prévu, dans l'actuel article 24 de la loi pour la sécurité intérieure, que l'échange de données doit comporter des garanties équivalantes à celles du droit interne.
Or la nouvelle rédaction vise seulement « un niveau de protection suffisant ». Cette disposition est donc en retrait par rapport à ce qui existe.
En première lecture, nous nous étions fermement opposés à cet abaissement de la garantie dans l'échange des données, à l'occasion de l'examen de l'article 68 modifié de la loi de 1978. Nous confirmons notre opposition en proposant cet amendement de suppression.
M. le président. Quel est l'avis de la commission ?
M. Alex Türk, rapporteur. Dans un souci d'harmonisation, nous pensons qu'il vaut mieux garder l'adjectif « suffisant », qui est retenu dans d'autres dispositions de ce texte. D'autant que, selon nous, passer de « garanties équivalentes » à « un niveau de protection suffisant » n'entraîne pas une baisse du niveau de protection.
L'avis de la commission est donc défavorable.
M. le président. Quel est l'avis du Gouvernement ?
M. le président. La parole est à M. Robert Bret, pour explication de vote.
M. Robert Bret. La modification de l'article 24 de la loi n°2003-239 du 18 mars 2003 pour la sécurité intérieure, prévue aux termes de l'article 15 sexies, adopté à l'Assemblée nationale, apparaît en retrait par rapport à l'état actuel du droit.
En effet, comme vient de l'expliquer mon collègue Charles Gautier, alors que, pour un échange de données interétatiques, il est exigé, dans l'actuel article 24 de ladite loi, l'existence de garanties équivalentes à celles du droit interne, il s'agit ici d'exiger uniquement « un niveau de protection suffisant ».
Nous ne pouvons accepter cette modification en retrait, spécialement en ce qui concerne les données collectées par les services de police et de gendarmerie.
Nous soulignons que cette notion de protection équivalente est déjà présente en matière de données sensibles, en particulier dans la loi de 1994 sur la recherche en matière de santé, et nous comprenons mal l'option prise ici, alors même que, selon le texte de la directive, le rapprochement des législations ne doit pas conduire à un affaiblissement de la protection.
Nous sommes d'autant moins favorables à cet abaissement que, en 2003, la CNIL devait dénoncer le nombre d'imprécisions et d'erreurs du STIC, le système de traitement des infractions constatées, qui ont pu conduire à l'augmentation très notable des plaintes sur ce type de fichiers de police.
Chacun peut mesurer l'ampleur des dérives pouvant résulter d'une éventuelle transmission de données erronées relatives à une personne à des services de police étrangers ne bénéficiant pas du même niveau de protection que ceux de la France.
C'est pourquoi les sénateurs et les sénatrices du groupe communiste républicain et citoyen voteront en faveur de cet amendement.
M. le président. Je mets aux voix l'article 15 sexies.
(L'article 15 sexies est adopté.)
TITRE III
DISPOSITIONS TRANSITOIRES
Article 16 bis
Les responsables de traitements non automatisés de données à caractère personnel intéressant la sûreté de l'Etat, la défense et la sécurité publique, dont la mise en oeuvre est régulièrement intervenue avant la date de publication de la présente loi disposent, pour mettre leurs traitements en conformité avec les articles 6 à 9 de la loi no 78-17 du 6 janvier 1978 précitée, dans leur rédaction issue de la présente loi, d'un délai allant jusqu'au 24 octobre 2010. - (Adopté.)
M. le président. Les autres dispositions du projet de loi ne font pas l'objet de la deuxième lecture.
Vote sur l'ensemble
M. le président. Avant de mettre aux voix l'ensemble du projet de loi, je donne la parole à M. Robert Bret, pour explication de vote.
M. Robert Bret. Monsieur le président, madame la secrétaire d'Etat, mes chers collègues, sans remettre en cause la sincérité de la démarche de M. le rapporteur, je ne peux que regretter qu'il ait, avec la majorité sénatoriale, rejeté en bloc les amendements déposés par les sénateurs et les sénatrices des groupes CRC et socialiste, parce qu'il a fait le choix d'un vote conforme.
Nous aurions souhaité un dialogue plus constructif. Le projet de loi est en instance devant le Parlement depuis maintenant deux ans : un retard supplémentaire de quelques semaines pour constituer une commission mixte paritaire n'aurait pas changé fondamentalement les choses !
Nos amendements soulevaient de vraies questions, qu'il s'agisse des interconnexions ou du champ des données sensibles : ils contribuaient à rééquilibrer le texte en supprimant les dispositions minorant le contrôle de la CNIL sur les fichiers, répondant en cela aux craintes exprimées par de nombreux spécialistes et défenseurs des droits de l'homme.
Nous n'avons pas été entendus sur ce terrain et nous le regrettons. Pourtant, j'avais l'impression que nous n'étions ni « ringards » - pour reprendre votre expression, monsieur le rapporteur - ni jusqu'au-boutistes !
Alors que s'achève aujourd'hui, ainsi que vous le souhaitiez, la discussion parlementaire sur ce texte, je souhaiterais que le Conseil constitutionnel soit saisi. Car nous ne sommes pas du tout sûrs que, dans sa rédaction actuelle, ce texte respecte entièrement les droits et libertés individuels, particulièrement la protection de la vie privée.
Pour l'heure, les sénatrices et les sénateurs du groupe communiste républicain et citoyen voteront contre ce projet de loi qui semble très imparfait, alors qu'il aurait pu, si bonne volonté il y avait eu, être nettement amélioré.
L'avenir nous dira, monsieur le rapporteur, si les craintes, que nous avons en partie relayées aujourd'hui, que l'esprit de la loi « informatique et libertés » soit dénaturé étaient fondées ou non. Très sincèrement, j'espère que la réponse sera négative.
Je souhaite, monsieur le rapporteur, qu'en tant que nouveau président de la CNIL vous teniez compte de ces inquiétudes dans votre action au quotidien et que vous nous présentiez une image offensive d'une institution soucieuse du respect scrupuleux des droits individuels face aux fichages sans cesse plus nombreux et plus intrusifs.
Nous comptons sur vous, monsieur le rapporteur : l'avenir et la crédibilité de la CNIL sont en jeu.
M. le président. La parole est à M. Charles Gautier.
M. Charles Gautier. Il est difficile, en cet instant, de ne pas exprimer un sentiment de gâchis. La lente élaboration de ce projet de loi a été enrichie d'avis extérieurs. Le débat qui s'est instauré n'était ni de droite ni de gauche : il s'agissait d'un véritable cheminement vers la mise en place d'un outil qui permette d'assurer une meilleure protection des libertés individuelles face à un monde dont les capacités technologiques sont sans limites.
Je me souviens que, lors de la première lecture du texte au Sénat, le groupe socialiste était prêt à voter ce texte. Nous avions déposé un certain nombre d'amendements, qui ont connu le même sort que celui qui a été réservé aux amendements que nous venons de défendre : aucun n'avait été retenu. Dès lors, notre groupe avait préféré s'abstenir.
Aujourd'hui, la situation est beaucoup plus grave ! En deuxième lecture, l'Assemblée nationale a apporté des modifications substantielles au projet de loi. Il était donc nécessaire de mener une réflexion et de formuler des propositions. Bien sûr, il fallait en débattre, mais il est tout de même surprenant que, sur l'ensemble des propositions formulées, aucune - comme par hasard ! - ne soit considérée comme apportant une amélioration au texte proposé : soit elles étaient trop précises, soit elles étaient trop générales...
On a d'ailleurs bien senti, tout au long du débat - l'échange que nous avons eu tout à l'heure sur le sujet est tout à fait éclairant -, une sorte de conflit : le législateur, pressé, doit absolument voter tous les textes conformes, être à l'heure au rendez-vous, mais, dans le même temps, il doit profiter de cette circonstance pour adopter un texte qui non seulement ait de l'allure, mais également constitue une boîte à outils pour la population de notre époque.
Cette chance n'a pas été saisie et nous sommes déçus de devoir voter contre le projet de loi qui nous est soumis aujourd'hui.
M. le président. La parole est à M. Yves Fréville.
M. Yves Fréville. A titre personnel, je voterai ce projet de loi.
Me souvenant de mes origines de chercheur, j'exprimerai un souhait. La CNIL a, je le reconnais, une mission éminente : la protection des libertés individuelles. Mais l'article 6 lui confère une autre fonction, tout aussi éminente : la préservation des intérêts de la recherche, ce qui suppose que les chercheurs, les universitaires, puissent utiliser des données individuelles.
La CNIL devra donc trouver un nouvel équilibre entre ces deux fonctions. Un certain nombre de décisions prises depuis un certain temps ne permettent peut-être pas de donner à notre effort de recherche l'aura qu'il mériterait.
Tout en souhaitant que la CNIL révise parfois sa jurisprudence, je voterai, je le répète, ce projet de loi.
M. le président. La parole est à M. le rapporteur.
M. Alex Türk, rapporteur. D'une certaine manière, je regrette également que les choses se déroulent ainsi aujourd'hui : il eût été préférable que vous fussiez aussi prolixes lors de l'examen en première lecture !
M. Robert Bret. Nous l'avons été tout autant !
M. Alex Türk, rapporteur. Je n'en ai pas le souvenir, loin de là ! Nous avons vraiment l'impression d'un jeu inversé, car vous avez produit l'essentiel de votre effort lors de cette deuxième lecture. J'ai trouvé insolite - je l'ai dit dès ce matin - ce réveil soudain.
Je voudrais revenir sur la question du vote conforme. Vous devez comprendre que nous avons besoin de ce texte.
M. Robert Bret. Personne ne dit le contraire !
M. Alex Türk, rapporteur. C'est une question de jours et d'heures.
Je vous ferai même un aveu : je suis heureux que ce texte soit voté aujourd'hui, car je vais enfin pouvoir sortir de l'illégalité. J'ai en effet pris la résolution, voilà un mois, de devancer l'adoption de ce projet de loi, afin de répondre à un certain nombre de préoccupations : des décisions de réorganisation ont été prises, comme si le texte était déjà en vigueur.
Ainsi que je l'ai signalé tout à l'heure, les dossiers importants se profilent à l'horizon et la CNIL doit s'y préparer ; elle a besoin d'un nouveau texte, de nouveaux instruments.
Il y a urgence, et c'est une question de semaines : nous n'avons pas, comme vous le pensez, uniquement la volonté d'en finir pour en finir.
Je me réjouis que ce texte soit enfin adopté. Il est vrai - de ce point de vue, je donne raison à Robert Bret - que, désormais, tout reste à démontrer. J'espère que vous nous ferez crédit avant que nous n'entamions le travail.
M. le président. Personne ne demande plus la parole ?...
Je mets aux voix l'ensemble du projet de loi.
(Le projet de loi est adopté.)