Allez au contenu, Allez à la navigation

Séance du 20 mars 2018 (compte rendu intégral des débats)

Mme Maryse Carrère. Cet amendement vise à renforcer les obligations de transparence des responsables de traitement et de leurs sous-traitants, afin d’améliorer l’information des personnes concernées par les traitements de données personnelles sur le droit applicable au responsable du traitement de ces données et à ses éventuels sous-traitants.

Le maintien dans le règlement européen de marges de manœuvre à la discrétion des États membres risque de laisser perdurer d’importantes différences en matière de protection des données personnelles au sein de l’Union européenne, ce qui pourrait induire le développement de pôles économiques dédiés à la sous-traitance des données personnelles dans les États aux législations les moins protectrices pour les personnes et consommateurs. C’est pourquoi il est proposé, en contrepartie, de renforcer les obligations d’information à l’endroit des personnes concernées.

M. le président. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. La commission sollicite le retrait de cet amendement, parce qu’il est en partie satisfait par l’article 13 du règlement général sur la protection des données, qui définit de façon exhaustive les obligations de transparence en faveur des personnes dont les données sont l’objet de traitement, notamment l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement, les destinataires ou les catégories de destinataires des données.

Cet amendement prévoit en outre des obligations supplémentaires qui ne sont pas du tout prévues par le RGPD et auxquelles je ne peux donc être favorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Même avis.

Mme Maryse Carrère. Je retire l’amendement !

M. le président. L’amendement n° 39 est retiré.

Article additionnel avant l’article 10 - Amendement n° 39
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article additionnel après l’article 10 - Amendements n° 7 rectifié septies et n° 66

Article 10

(Non modifié)

L’article 35 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° Au début du premier alinéa, est ajoutée la mention : « I. – » ;

2° Sont ajoutés deux alinéas ainsi rédigés :

« Le présent I est applicable aux traitements ne relevant ni du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ni du chapitre XIII de la présente loi.

« II. – Dans le champ d’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, le sous-traitant respecte les conditions prévues par ce règlement. » – (Adopté.)

Article 10
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article additionnel avant l’article 11 - Amendement n° 36

Article additionnel après l’article 10

M. le président. Je suis saisi de deux amendements faisant l’objet d’une discussion commune.

L’amendement n° 7 rectifié septies, présenté par Mme Bruguière, MM. Sol, Henno et D. Laurent, Mme Deromedi, M. A. Marc, Mme Goy-Chavent, M. Bansard, Mme Renaud-Garabedian, M. Poniatowski, Mme Garriaud-Maylam, MM. de Nicolaÿ, Bonhomme et Milon, Mme Billon, M. Bonne, Mme Bories, M. Brisson, Mme Bonfanti-Dossat, M. Chasseing, Mme Eustache-Brinio, M. B. Fournier, Mme Lamure, MM. Lefèvre, Lagourgue et Guerriau, Mme Mélot, M. Bouchet, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi, est ainsi libellé :

Après l’article 10

Insérer un article additionnel ainsi rédigé :

Le premier alinéa de l’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée : « Cela implique notamment que, chaque fois que cela est possible, les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données. »

La parole est à M. François Bonhomme.

M. François Bonhomme. Cet amendement vise à rendre explicite que l’obligation de sécurité prévue dans le règlement se traduit en obligation de chiffrer de bout en bout chaque fois que cela est possible. En effet, le chiffrement de bout en bout, où seules les personnes autorisées à accéder aux données ont la clef, limite considérablement les risques d’intrusion.

M. le président. L’amendement n° 66, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :

Après l’article 10

Insérer un article additionnel ainsi rédigé :

Le premier alinéa de l’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée : « Cela implique notamment, chaque fois que cela est possible, que les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à y accéder. »

La parole est à Mme Esther Benbassa.

Mme Esther Benbassa. L’alinéa 1er de l’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Notre amendement, à l’instar de celui qui vient d’être défendu par nos collègues du groupe LR, tend à préciser la notion de « précautions utiles », en ajoutant que, chaque fois que cela est possible, les données devraient être chiffrées afin de n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à y accéder. Nous considérons en effet que le chiffrement des données de bout en bout est la seule technique à même de limiter les risques d’intrusion.

M. le président. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. Avis favorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Le Gouvernement émet un avis défavorable.

Obliger les responsables de traitement et les sous-traitants à chiffrer les données de bout en bout chaque fois que cela est possible apparaît excessif au regard du RGPD.

Cette obligation peut également se révéler non pertinente pour certains traitements. En effet, le chiffrement ne constitue que l’une des mesures pour atténuer les risques inhérents au traitement afin de garantir la sécurité. L’article 32 du règlement prévoit ainsi que, « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, […], le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques, y compris entre autres, selon les besoins ». Parmi celles-ci figurent notamment la pseudonymisation et le chiffrement des données à caractère personnel.

Il s’agit donc d’une mesure de sécurité parmi d’autres, qui ne saurait être imposée systématiquement au responsable de traitement. Il appartient à ce dernier, au regard du principe de responsabilisation, et sous le contrôle de la CNIL, d’apprécier laquelle de ces mesures est la plus appropriée à son traitement et au risque potentiel qu’il présente.

M. le président. Je mets aux voix l’amendement n° 7 rectifié septies.

(Lamendement est adopté.)

M. le président. En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 10, et l’amendement n° 66 n’a plus d’objet.

Chapitre IV

Dispositions relatives à certaines catégories particulières de traitements

Article additionnel avant l’article 11

Article additionnel après l’article 10 - Amendements n° 7 rectifié septies et n° 66
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article 11

M. le président. L’amendement n° 36, présenté par Mme M. Carrère, est ainsi libellé :

Avant l’article 11

Insérer un article additionnel ainsi rédigé :

Le 4° du II de l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi rédigé :

« 4° Les traitements portant sur des données à caractère personnel rendues explicitement publiques par la personne concernée, sauf dans le cas où la loi prévoit que l’interdiction mentionnée au I ne peut être levée par le consentement de la personne concernée ; »

La parole est à Mme Maryse Carrère.

Mme Maryse Carrère. Vous connaissez tous les risques liés à la constitution de données sensibles à partir des données personnelles publiées volontairement pas des usagers d’outils numériques et de réseaux sociaux.

Il peut ainsi exister des profilages à partir de « réactions » ou de commentaires laissés sur tel ou tel article, telle ou telle page internet, qui peuvent permettre d’établir des bases de données comportant des indications sur les orientations sexuelles d’une personne ou ses convictions politiques. D’une part, ces profilages peuvent se révéler de simples extrapolations algorithmiques et, d’autre part, en agissant de la sorte, les utilisateurs n’ont pas nécessairement la volonté de rendre publiques les données concernées.

Il apparaît que ce risque est insuffisamment pris en compte, tant dans le droit interne qu’en droit européen. C’est pourquoi nous proposons d’introduire cette modification.

M. le président. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. La commission sollicite le retrait de cet amendement, qui tend à donner au législateur la possibilité d’interdire le traitement de données sensibles rendues publiques.

Outre qu’il ne précise pas lui-même les cas où une telle interdiction devrait s’appliquer, le présent amendement semble fusionner les régimes applicables à deux types différents de données : d’une part, le régime applicable aux données personnelles, pour lesquelles la personne a consenti au traitement – ces données peuvent ne pas avoir été rendues publiques –, et, d’autre part, le régime applicable aux données personnelles qui sont « manifestement rendues publiques » par la personne concernée – elles peuvent l’être sans un consentement exprès et verbalisé de la personne au sens du règlement général sur la protection des données.

De plus, le présent amendement introduirait une restriction qui ne figure pas dans le règlement ; je vous propose de nous en tenir à la formulation de celui-ci.

M. le président. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Même avis.

Mme Maryse Carrère. Je retire l’amendement !

M. le président. L’amendement n° 36 est retiré.

Article additionnel avant l’article 11 - Amendement n° 36
Dossier législatif : projet de loi relatif à la protection des données personnelles
Article additionnel après l’article 11 - Amendement n° 9 rectifié ter

Article 11

I. – L’article 9 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° A (nouveau) Au début du premier alinéa, est ajoutée la mention : « I. – » ;

1° (Supprimé)

2° Le 1° est complété par les mots : « ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, dans la mesure strictement nécessaire à l’exercice des missions qui leur sont confiées par la loi » ;

3° Le 3° est ainsi rédigé :

« 3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à cette finalité. La communication à un tiers n’est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités. Un décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, fixe les modalités d’application du présent 3°. Il précise, selon la catégorie des données, les durées maximales de conservation des informations enregistrées, les catégories de personnes autorisées à être destinataires de tels traitements et les conditions de cette transmission ; »

4° Il est ajouté un 5° ainsi rédigé :

« 5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l’article L. 10 du code de justice administrative et les décisions mentionnées à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées. » ;

5° (nouveau) Il est ajouté un II ainsi rédigé :

« II. – Les traitements de données à caractère personnel relatives aux infractions, aux condamnations et aux mesures de sûreté, à l’exclusion de ceux qui sont mentionnés aux articles 26 et 27, ne sont mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées.

« Les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

« La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée. »

II (nouveau). – Le deuxième alinéa de l’article L. 111-13 du code de l’organisation judiciaire est ainsi rédigé :

« Les modalités de cette mise à disposition préviennent tout risque de réidentification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des magistrats et à l’impartialité des juridictions. »

III (nouveau). – Le troisième alinéa de l’article L. 10 du code de justice administrative est ainsi rédigé :

« Les modalités de cette mise à disposition préviennent tout risque de réidentification des juges, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des juges et à l’impartialité des juridictions. »

M. le président. L’amendement n° 67, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :

Rédiger ainsi cet article :

L’article 9 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :

1° Au premier alinéa, les mots : « infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que » sont remplacés par les mots : « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que sous le contrôle de l’autorité publique ou » ;

2° Le 1° est complété par les mots : « ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, dans la mesure strictement nécessaire à leur mission » ;

3° Le 3° est ainsi rédigé :

« 3° Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée proportionnée à cette finalité ; la communication à un tiers n’est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ; »

4° Il est ajouté un 5° ainsi rédigé :

« 5° Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l’article L. 10 du code de justice administrative et les décisions mentionnées à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées. »

La parole est à Mme Esther Benbassa.

Mme Esther Benbassa. Ce n’est pas la première fois que nous abordons la question de lopen data juridique dans cet hémicycle.

Nous en sommes convaincus, l’accès des citoyens à la jurisprudence permet d’accroître la transparence de l’autorité judiciaire, de préserver la confiance des citoyens dans la justice et d’assurer aux justiciables une sécurité juridique. Malheureusement, aujourd’hui encore, le conservatisme s’oppose au mouvement de consécration de la transparence de notre système judiciaire, notre commission ayant adopté un amendement visant à anonymiser les noms des magistrats et des avocats.

Pourtant, le Conseil national des barreaux s’est opposé à l’unanimité à l’anonymisation des avocats dans les jugements dans une résolution du 3 février 2017. Dans le même sens, M. Louvel, premier président de la Cour de cassation, et les premiers présidents des cours d’appel se sont prononcés contre cette mesure. La CNIL s’est également prononcée contre la mesure dès 2001, et son avis est suivi dans toute l’Union européenne.

Plus récemment, le rapport du professeur Loïc Cadiet, rendu en mai 2017, a considéré dans son point n° 71 que « l’occultation du nom du magistrat reviendrait à cacher un des principaux acteurs du fonctionnement de l’institution judiciaire et ne garantirait plus la fiabilité et l’intégrité des données ouvertes – open data –, ce qui constitue alors un obstacle aux objectifs poursuivis par la loi ».

L’anonymisation va contre le sens de l’histoire, mes chers collègues. Nous souhaitons donc revenir à la rédaction initiale du texte.

M. le président. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. L’avis est défavorable, car cet amendement vise à revenir intégralement au texte du projet de loi initial en supprimant tous les apports de la commission.

L’objet de l’amendement ne mentionne que les dispositions votées concernant lopen data des décisions de justice. C’est oublier que l’article 11 ne concerne pas seulement ce sujet, mais également le régime général de licéité des traitements de données pénales et, plus particulièrement, la liste des personnes, y compris morales de droit privé, autorisées à mettre en œuvre des fichiers concernant les infractions ou les condamnations pénales. Cet article adopté par la commission vise par exemple à permettre de maintenir le régime d’autorisation préalable des fichiers en matière pénale. Il convient donc de conserver les apports de la commission des lois.

Concernant la suppression du dispositif voté par la commission concernant l’open data des décisions de justice – j’y reviendrai lors de l’examen des amendements suivants, qui, eux, visent spécifiquement à supprimer les dispositions concernant l’open data des décisions –, je me permets de souligner que, contrairement à ce que l’objet de l’amendement laisse suggérer, le rapport Cadiet n’a pas pris position en faveur du maintien du nom des magistrats ; il a examiné les arguments pour et les arguments contre. Selon ce rapport, « la mention des noms des magistrats dans les décisions diffusées en open data mettrait à mal les principes » d’indépendance et de procès équitable.

Le rapport concluait : « En définitive, il semble que les seules personnes qui, en dehors des parties et des juridictions, pourraient avoir un intérêt réel à connaître les noms des juges, seraient celles qui souhaiteraient porter à leur encontre des critiques personnelles, souvent malveillantes et injustifiées, voire discriminatoires, ou même s’en prendre à leur sécurité physique.

« En effet, outre qu’elle ne présente aucune plus-value, la diffusion des noms des magistrats exposerait la justice et les juges à plusieurs risques principaux. » Il y a en effet un risque de forum shopping, c’est-à-dire de stratégies délibérées des justiciables pour obtenir un juge en particulier, mais également un risque que les magistrats soient pris pour cibles, qu’il existe des tentatives de déstabilisation contre eux, voire d’atteinte à leur sécurité.

« En somme, loin d’aboutir à favoriser la confiance du justiciable dans la justice, l’indication des noms des magistrats conduirait à l’affaiblir, sans concourir aux objectifs poursuivis par l’open data. »

Nous ne parlons ici que des magistrats, mais les policiers et les greffiers qui interviennent au cours de la procédure et sont mentionnés dans le jugement doivent également, a fortiori avec un fichier en open data facilement réutilisable, faire l’objet d’un procédé visant à prévenir tout risque de réidentification des personnes concernées. De plus, le texte de la commission ne nuit absolument pas à la publicité des débats et des décisions de justice, qui perdure bien entendu.

M. le président. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. L’amendement que vous avez présenté, madame la sénatrice, converge avec l’objectif de l’amendement que je proposerai dans un instant. Je préférerais cependant que le Sénat adopte celui du Gouvernement. C’est pourquoi j’émets un avis défavorable sur votre amendement.

M. le président. Je mets aux voix l’amendement n° 67.

(Lamendement nest pas adopté.)

M. le président. L’amendement n° 87, présenté par le Gouvernement, est ainsi libellé :

I. – Alinéa 2

Supprimer cet alinéa.

II. – Alinéa 3

Rétablir le 1° dans la rédaction suivante :

1° Au premier alinéa, les mots : « infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que » sont remplacés par les mots : « condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que sous le contrôle de l’autorité publique ou » ;

III. – Alinéa 4

Remplacer les mots :

l’exercice des missions qui leur sont confiées par la loi

par les mots :

leur mission

IV – Alinéa 6, troisième et dernière phrases

Supprimer ces phrases.

V. – Alinéas 9 à 12

Supprimer ces alinéas.

La parole est à Mme la garde des sceaux.

Mme Nicole Belloubet, garde des sceaux. Par cet amendement, le Gouvernement souhaite rétablir, pour l’essentiel, l’article 11 tel qu’il est issu des débats à l’Assemblée nationale. La rédaction retenue par la commission des lois ne nous semble en effet pas satisfaisante, car elle retient une définition des données d’infraction différente de celle de l’article 10 du RGPD, qui est impérative.

En outre, il est nécessaire de revenir à la rédaction adoptée par l’Assemblée nationale s’agissant des personnes morales de droit privé collaborant au service public de la justice. En effet, la commission des lois a ajouté une condition leur permettant de traiter des données d’infraction, à savoir que leurs missions doivent avoir été confiées par la loi. Si je comprends la démarche de la commission, qui souhaite renforcer la protection de ce type de données, pour autant, la rédaction retenue est trop restrictive. Elle exclurait ainsi les associations d’aide aux victimes, qui bénéficient d’un agrément du ministère de la justice sans que des dispositions législatives consacrent leur mission.

Par ailleurs, le présent amendement supprime le renvoi à un décret en Conseil d’État pris après avis de la CNIL pour définir les modalités selon lesquelles les personnes physiques ou morales peuvent traiter des données d’infraction pour leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice.

Dans sa décision du 29 juillet 2004, le Conseil constitutionnel a précisé que les garanties appropriées et spécifiques doivent être fixées dans la loi. Les garanties qui figurent dans le présent projet de loi en termes de durée de conservation et de proportionnalité de la finalité suffisent à répondre aux conditions fixées par le Conseil constitutionnel, sans qu’il soit besoin de définir des durées maximales de conservation des informations enregistrées, les catégories de personnes autorisées à être destinataires de tels traitements ou encore les conditions de cette transmission. Le Conseil d’État a d’ailleurs estimé que les précisions apportées par le projet de loi n’appelaient pas de réserve.

Enfin, le présent amendement supprime le régime d’autorisation préalable par la CNIL avec une possibilité de décision unique, qui avait été réintroduit par la commission des lois. Un tel régime va en effet à l’encontre de l’objectif de non-surtransposition souhaité par le Gouvernement et de la philosophie du règlement européen, qui vise à alléger les formalités préalables. Cet allégement va de pair, en contrepartie, avec un accroissement du pouvoir de sanction de la CNIL. L’équilibre auquel était parvenue l’Assemblée nationale sur cette disposition doit être maintenu.

Nous souscrivons en revanche à l’ajout du mot « strictement » au 3° de l’article 9 tel qu’il a été proposé par la commission des lois.

M. le président. Quel est l’avis de la commission ?

Mme Sophie Joissains, rapporteur. L’avis est très défavorable.

Cet amendement vise d’abord à étendre considérablement, sans aucune forme de garantie, la liste des personnes pouvant mettre en œuvre des traitements d’infractions pénales, de condamnations ou de mesures de sûreté dès lors qu’ils s’effectuent « sous le contrôle de l’autorité publique », sans autre précision. Cela s’entend hors des fichiers directement mis en œuvre par les autorités publiques qui, eux, restent mentionnés au 1° de l’article 9 de la loi de 1978.

Avec la suppression de l’ensemble du régime d’autorisation préalable des fichiers prévu actuellement par l’article 25 de la loi du 6 janvier 1978, le projet de loi tend désormais à encadrer les fichiers mis en œuvre par l’État plus strictement que les fichiers mis en œuvre par des personnes physiques ou morales. C’est paradoxal ! A fortiori en matière pénale, les risques pour les personnes, notamment d’atteinte à la vie privée et de négation du droit à l’oubli, peuvent provenir de l’utilisation à des fins privées de telles données.

Cet amendement vise ensuite à supprimer le régime d’autorisation préalable par la CNIL des fichiers mis en œuvre en matière pénale. Il s’agit, non d’une transposition, mais du droit en vigueur. Je rappelle que, selon le considérant 19 du règlement, « les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques » quand il s’agit de maintenir un niveau élevé d’exigences en matière de protection des données personnelles. Le règlement n’impose aucunement de baisser notre niveau d’exigence. Ce n’est pas de la surtransposition quand il s’agit de maintenir nos règles actuelles !

S’agissant de la directive, le considérant 15 prévoit ainsi : « Le rapprochement des législations des États membres ne devrait pas conduire à un affaiblissement de la protection des données à caractère personnel qu’elles offrent mais devrait, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans l’Union. Il convient que les États membres ne soient pas empêchés de prévoir des garanties plus étendues que celles établies dans la présente directive pour la protection des droits et des libertés des personnes concernées à l’égard du traitement des données à caractère personnel par les autorités compétentes. »

Cet amendement vise enfin à supprimer toutes les garanties introduites par la commission s’agissant des fichiers en matière pénale mis en œuvre par toute personne physique ou morale. Ces garanties n’empêcheraient pas les associations de victimes de tenir de tels fichiers, puisque leurs missions légales sont fixées par la loi, notamment par l’article 10-2 du code de procédure pénale.

Les garanties prévues par la commission constituent, selon moi, le strict minimum pour répondre aux exigences constitutionnelles et, notamment, à sa décision n° 2004-499 DC du 29 juillet 2004. Il est indispensable que le décret prévoie la durée maximale de conservation des informations enregistrées et que soient précisées les catégories de personnes, par exemple les associations de victimes, autorisées à être destinataires de tels traitements. Je rappelle que, en 2004, le Conseil constitutionnel avait censuré une disposition similaire en raison de l’absence de précision sur les limites susceptibles d’être assignées à la conservation des mentions relatives aux condamnations.

L’élargissement de la possibilité de mettre en œuvre de tels traitements par les personnes morales, et à l’époque avec des formalités préalables, avait été censuré par le Conseil, qui avait considéré que, en raison de l’ampleur que pouvait revêtir les traitements de données personnelles ainsi mises en œuvre et de la nature des informations traitées, une telle disposition pourrait affecter, par ses conséquences, le droit au respect de la vie privée et les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques.

La rédaction de cette disposition est imprécise, car elle reste muette sur les conditions dans lesquelles les données traitées pourraient être partagées ou cédées, ou encore si pourraient y figurer des personnes sur lesquelles pèse la simple crainte qu’elles soient capables de commettre une infraction. Rien n’est dit sur les limites susceptibles d’être assignées à la conservation des mentions relatives aux condamnations. (M. Simon Sutour applaudit.)