Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 29

23 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 2


Supprimer cet article.

Objet

La définition de ce qu'est une donnée à caractère personnel figure déjà à l'article 2 de la loi et c'est à dessein qu'il n'existe aucune liste de ce que sont les données à caractère personnel. Il convient en effet de ne pas figer cette notion, dans une matière où la technologie évolue particulièrement rapidement. A cet égard, il convient de rappeler que la Commission européenne a indiqué, en 2007, dans une communication portant sur le suivi du programme de travail pour une meilleure mise en application de la directive 95/46/CE sur la protection des données, que celle-ci, qui a été transposée dans la loi « Informatique et libertés », est techniquement neutre, que ses principes et dispositions sont de portée suffisamment générale et que ses règles peuvent continuer à s'appliquer de manière satisfaisante aux technologies et situations nouvelles.

Le caractère technologiquement neutre de la loi du 6 janvier 1978 et la plasticité de la notion de donnée à caractère personnel permettent indéniablement au droit français de rester en permanence adapté aux nouvelles technologies, constamment en évolution.

L'article 2 rompt avec cette logique. En précisant expressément que « tout numéro identifiant le titulaire d'un accès à des services de communication au public en ligne est une donnée à caractère personnel », il fait de l'adresse IP, de manière générale et absolue, une donnée personnelle. Il ouvre la voie à une future énumération de ce qu'est, ou n'est pas, en soi, une donnée personnelle ; or, une telle démarche est illusoire, dès lors que la notion de donnée personnelle est nécessairement relative et contingente. En effet, une même information peut, selon le responsable du traitement qui la collecte et les moyens dont il dispose, présenter, ou non, le caractère d'une donnée à caractère personnel.

L'adresse IP en constitue un parfait exemple. Elle se définit comme le numéro unique qui identifie chaque équipement connecté à Internet. Attribuée par le fournisseur d'accès à internet à ses clients, elle peut être fixe ou dynamique. Lorsqu'elle est fixe, le numéro est attribué une seule fois pour un équipement déterminé ; lorsqu'elle est dynamique, une adresse IP différente est attribuée à chaque nouvelle connexion pour un même équipement.

On le voit, seul le fournisseur d'accès à internet peut identifier ce numéro en le croisant avec les informations dont il dispose à savoir, les coordonnées de l'abonné et ses dates et heures de connexion. A défaut le numéro identifiant ne permet pas d'obtenir l'identité de la personne.

De surcroît, sur internet, l'adresse IP ne permet pas réellement d'identifier le titulaire de l'accès. Il peut y avoir derrière cette adresse plusieurs équipements, dont des ordinateurs, des imprimantes ou des appareils mobiles connectés. Il n'est pas certain que l'utilisateur de cet abonnement soit le titulaire de l'accès. Pourtant c'est bien la seule personne que le fournisseur d'accès est en mesure d'identifier. L'adresse IP que les auteurs de la proposition de loi souhaitent protéger n'identifie donc pas réellement le titulaire de l'abonnement, mais simplement un équipement connecté au réseau à un instant donné.

Les juridictions qui se sont penchées sur la question ont, naturellement et heureusement, procédé à une analyse au cas par cas, pour déterminer si la personne qui détenait l'adresse IP était en mesure de relier cette information, même indirectement, à une personne identifiée. Ce n'est que dans l'affirmative qu'il y a lieu de considérer l'adresse IP à une donnée personnelle bénéficiant de la protection de la loi Informatique et Libertés.

Au surplus, les opérateurs de télécommunications gèrent l'IP comme une "donnée de trafic", encadrée par l'article L 34-1 du code des postes et communications électroniques. Le régime de ces données de trafic obéit déjà au principe de l'effacement ou de l'anonymisation, sauf pour la conservation motivée (pour les besoins de facturation et de gestion commerciale ou la recherche des délits ou la lutte contre le terrorisme). En revanche, l'assimilation de l'IP à une donnée personnelle revient à assujettir le traitement de cette donnée à l'ensemble des règles et contraintes découlant de la législation « Informatique et Libertés » (régime de déclaration, droit d'accès, opposition et rectification, contrôles de la CNIL...) Ceci risquerait de bouleverser l'équilibre actuel de gestion informationnelle des opérateurs et d'entraîner un fort impact en termes de coûts, délais, contraintes et lourdeurs de gestion.

De plus, il convient de souligner que la nouvelle directive européenne sur la vie privée et les communications électroniques ne procède pas à cette assimilation de l'adresse IP à une donnée personnelle.

En définitive, emprunter le chemin proposé par l'article 2 reviendrait à rigidifier dangereusement la loi et serait source de confusion : faudra-t-il, à l'avenir, qu'une information soit expressément mentionnée par la loi comme donnée personnelle pour qu'elle bénéficie de la protection de la loi Informatique et Libertés ? Assurément, il ne le faut pas. C'est pourquoi il est proposé de supprimer cet article.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 30

23 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 3


Supprimer cet article.

Objet

Cet article crée un chapitre au sein de la loi du 6 janvier 1978 consacré au correspondant « informatique et libertés ».

Actuellement, la désignation d'un correspondant à la protection des données respecte un équilibre dans les obligations qui pèsent sur le responsable d'un traitement, de même que dans les prérogatives de la CNIL : un correspondant à la protection des données, qui dispose de liens avec la Commission, peut être nommé par le responsable de traitements soumis au régime de la déclaration prévue aux articles 23 et 24 de la loi. En contrepartie, la désignation du correspondant dispense l'autorité qui crée le traitement d'accomplir auprès de la CNIL la formalité préalable de la déclaration. Un tel mécanisme allège la procédure.

Le texte issu de la commission rend obligatoire la nomination d'un correspondant « lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel qui relève du régime d'autorisation en application des articles 25, 26 ou 27 ou pour lequel plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en œuvre ».

Ce texte est entaché de contradictions internes : il rend la désignation du correspondant obligatoire lorsque l'organisme recourt à un traitement relevant du régime d'autorisation, mais il tire des conséquences de cette désignation uniquement sur les traitements relevant du régime de déclaration des articles 23 et 24. En outre, le seuil à partir duquel le correspondant deviendrait obligatoire est particulièrement malaisé à identifier : en effet, contrairement à l'identification du nombre d'employés travaillant dans un organisme, le nombre de personnes chargées de la mise en œuvre du traitement n'est pas aisé à déterminer.

Surtout, l'article 3 opère un bouleversement de l'approche jusque là privilégiée par la loi Informatique et Libertés, qui faisait des correspondants à la protection des données un vecteur de diffusion de la culture de la protection des données d'autant plus efficace qu'il reposait sur le volontariat et, partant, sur le postulat d'un lien de confiance entre l'organisme et le correspondant. A l'inverse, l'article 3 met en œuvre une logique de contrainte, qui change la nature même de l'institution du correspondant. D'une part, la désignation d'un correspondant deviendrait obligatoire, comme si, en son absence, les organismes concernés ne pourraient satisfaire à leurs obligations en matière de protection des données.

D'autre part, le choix de la personne désignée devrait nécessairement recueillir l'aval de la CNIL, privant ainsi l'organisme concerné d'une autonomie de gestion pourtant élémentaire, alors qu'actuellement la désignation du correspondant est simplement notifiée à la Commission. Enfin, le correspondant serait tenu d'informer la CNIL de toute difficulté rencontrée dans l'exercice de ses missions, ce qui reviendrait à donner à la CNIL un pouvoir général d'intrusion dans les affaires internes de l'organisme concerné. Ceci ternirait l'image dont jouit la CNIL auprès des entreprises.

De plus, une telle institution obligatoire constituerait un dangereux précédent : aucune autre autorité administrative indépendante, et c'est heureux, ne bénéficie d'un tel droit de regard dans la gestion courante des organismes concernés par leur mission de régulation. Au demeurant, la CNIL n'a nullement demandé que l'institution du correspondant à la protection des données devienne obligatoire.

Au surplus, une telle généralisation du correspondant informatique, qui conduirait à la désignation de très nombreux correspondants dans les services de l'État, des collectivités territoriales, voire des assemblées parlementaires, ne paraît pas conforme à l'esprit de la directive 95/46/CE qui a conçu l'institution du correspondant comme une faculté ouverte aux responsables de traitement. C'est notamment ce qu'avait souligné M. TÜRK, alors rapporteur du texte, lors des débats parlementaires au Sénat sur la loi du 6 août 2004, qui a transposé la directive 95/46/CE, en indiquant que le nouvel article 22 de la loi du 6 janvier 1978 a pour objet d'encourager l'institution de correspondants de la CNIL dans les entreprises privées sur la base du volontariat, et sur le modèle des correspondants existants dans la presse et dans les organismes publics. Il s'agit de la transposition d'une possibilité offerte par le point 2 de l'article 18 de la directive et déjà appliquée en Allemagne et en Suède.

Par ailleurs, s'agissant en particulier des traitements intéressant la sûreté de l'État, la défense ou la sécurité publique visés à l'article 26, l'institution obligatoire d'un correspondant serait incompatible avec l'intervention, prévue à l'article 41, d'un membre de la CNIL, appartenant ou ayant appartenu au Conseil d'État, à la Cour de cassation ou à la Cour des comptes, et chargé de contrôler la mise en œuvre de ces traitements. Le magistrat désigné peut mener les investigations utiles et faire procéder aux modifications nécessaires. Ses pouvoirs se recouperaient avec ceux du correspondant, ce qui est de nature à créer la confusion, particulièrement s'agissant de fichiers sensibles.

De manière générale, dans les administrations de l'État, l'institution obligatoire de correspondants « informatique et libertés » est de nature à créer une confusion avec les correspondants du même nom désignés dans chaque ministère qui, depuis une circulaire du Premier ministre du 12 mars 1993, assurent la coordination de l'application de la loi du 6 janvier 1978 au sein des différentes administrations et sont les interlocuteurs privilégiés du commissaire du Gouvernement auprès de la CNIL. Or, ce mécanisme, respectueux de l'organisation de l'administration de l'État, contribue très utilement à diffuser une culture d'observation des dispositions de la loi de 1978 relatives à la protection de la vie privée.

Par ailleurs, le Gouvernement est hostile à la désignation de correspondants à la protection des données tels qu'ils sont prévus à l'article 22 de la loi du 6 janvier 1978 dans les services déconcentrés de l'État. L'existence de ces correspondants dans des services dépourvus de la personnalité morale et placés sous l'autorité hiérarchique des ministres présente en effet des inconvénients en termes de définitions locales de politiques relatives à la mise en œuvre de traitements de données à caractère personnel qui risqueraient d'être mal maitrisées. La mise en place de ces correspondants est au surplus malaisée au regard du principe de l'autorité hiérarchique.

Il paraît, par conséquent, préférable de ne recourir à ce contrôle interne que dans les administrations et les entreprises qui sont volontaires pour ce faire et, dans les autres cas, de conserver une séparation claire entre les obligations du responsable de traitement et le contrôle du respect de ces obligations par un organisme extérieur, étant rappelé que la CNIL dispose de pouvoirs de contrôle a posteriori renforcés depuis l'intervention de la loi du 6 août 2004. C'est pourquoi il est proposé de supprimer cet article.





Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 8

19 mars 2010


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Sagesse du Sénat
Adopté

Mme TROENDLE et MM. BÉTEILLE, BUFFET, LEFÈVRE et PILLET


ARTICLE 3


Alinéa 4, première phrase

Remplacer les mots : 

cinquante personnes

par les mots :

cent personnes

Objet

L'article 3 de la proposition de loi oblige toute autorité publique ou organisme privé qui recourt à un traitement de données à caractère personnel, pour lequel plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en œuvre, à désigner, en son sein ou dans un cadre mutualisé, un correspondant « informatique et libertés ».

Le présent amendement a pour objet de relever le seuil de cinquante personnes ayant directement accès ou chargées de la mise en œuvre d'un traitement de données à caractère personnel.

Il apparaît, en effet, qu'un tel seuil tend à rendre obligatoire la présence du CIL dans un trop grand nombre d'organismes et risque de compromettre la capacité de la CNIL à gérer un tel dispositif. En dessous du seuil de cent personnes, le volontariat doit ainsi être préféré au caractère obligatoire.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 17

22 mars 2010


 

AMENDEMENT

présenté par

C
G  
Retiré

MM. DOMEIZEL, Charles GAUTIER

et les membres du Groupe socialiste


ARTICLE 3


I. - Alinéa 4, première phrase

Après le mot :

désigne

insérer les mots :

à partir d'un délai de deux ans après la promulgation de la présente loi

II. - Après l'alinéa 8

Insérer un alinéa ainsi rédigé :

« Un décret pris après avis de la Commission nationale de l'informatique et des libertés détermine les conditions d'application du présent article. »

Objet

On constate, depuis leur création par la loi du 6 août 2004, une augmentation constante du nombre d'organismes ayant désigné des correspondants « informatique et liberté », qui sont passés de 1300 en 2007 à 6200 en 2010.

Compte tenu de cette dynamique, il paraît prématuré, tout au moins hâtif, de rendre obligatoire la création des CIL. Par ailleurs, en l'absence d'étude d'impact, le Parlement ne bénéficie pas d'une analyse précise des conséquences d'une telle obligation, notamment en termes de relations sociales au sein des entreprises et des administrations.

C'est pourquoi le présent amendement propose de donner un délai de deux ans pour qu'un décret soit pris, après avis de la CNIL, fixant les modalités de l'obligation de désigner un correspondant « informatique et liberté »






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 10 rect. bis

23 mars 2010


 

AMENDEMENT

présenté par

C Demande de retrait
G Sagesse du Sénat
Rejeté

MM. AMOUDRY, BADRÉ et Jean-Léonce DUPONT, Mme PAYET et M. SOULAGE


ARTICLE 3


Alinéa 7, première phrase

Après les mots :

à la Commission

supprimer les mots :

qui peut la refuser s'il ne remplit pas les conditions de compétence visées aux deux alinéas précédents

Objet

Ces alinéas de l'article 3 prévoient que la CNIL peut refuser la désignation d'un CIL s'il ne possède pas les compétences requises.

Cette disposition soulève des difficultés quant au rôle de la CNIL à l'égard des entreprises. En effet, il lui serait très difficile de déterminer les critères objectifs nécessaires à l'évaluation d'un défaut de compétence d'un correspondant « informatique et libertés ». Des critères tels que l'ancienneté de la personne, ses diplômes ou le poste qu'elle occupe doivent être mis en relation avec la taille de l'organisme concerné, le secteur d'activité dans lequel il évolue et la nature des données traitées. Il apparaît ainsi que le responsable de traitement est le mieux placé pour effectuer ce choix. Enfin, le fait que la CNIL puisse s'opposer au choix initial d'un responsable de traitement pourrait être vécu par celui-ci comme une perte de contrôle quant à l'organisation de ses services, ce qui n'est pas souhaitable.

C'est pourquoi le présent amendement a pour objet de supprimer ces dispositions.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 15

22 mars 2010


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Rejeté

M. Charles GAUTIER

et les membres du Groupe socialiste, apparentés et rattachés


ARTICLE 3


Alinéa 8, seconde phrase

Remplacer le mot :

consultation

par les mots :

avis conforme

Objet

Dans le cas de démission d'office du correspondant informatique et liberté (CIL), le texte initial de la proposition de loi faisait le choix d'un avis conforme de la CNIL.

Or, la commission des lois remplace l'avis conforme par le terme de consultation, c'est-à-dire d'avis simple.

Pourtant, l'indépendance du CIL est une exigence posée par l'article 22 (III) de la loi de 1978 et l'avis conforme représente un élément substantiel garantissant cette indépendance.

C'est la raison pour laquelle il convient de rétablir l'exigence d'avis conforme inscrite dans le texte de la proposition de loi initiale.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 39

23 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

M. COINTAT

au nom de la commission des lois


ARTICLE 3


Alinéa 10

Remplacer la référence :

31 bis

par la référence :

31-1

Objet

Cet amendement corrige une erreur de référence.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 11 rect.

23 mars 2010


 

AMENDEMENT

présenté par

C
G  
Retiré

MM. AMOUDRY, BADRÉ et Jean-Léonce DUPONT, Mme PAYET et M. SOULAGE


ARTICLE 3


Après l'alinéa 10

Insérer un paragraphe ainsi rédigé :

...  - Les dispositions du présent article entreront en vigueur vingt-quatre mois après la date de promulgation au Journal Officiel de la présente loi.

Douze mois après la promulgation de la présente loi, le Gouvernement déposera devant le Parlement une étude d'impact sur les modalités de mise en œuvre des dispositions du présent article.

Objet

L'article 3 prévoit la désignation obligatoire de correspondants informatique et liberté lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en oeuvre. Les CIL se développent : ils sont passés de 1300 en 2007 à 6200 en 2010. Il convient d'encourager ce succès, car ils sont le gage d'une meilleure application de la loi.

Toutefois, le caractère obligatoire de cette désignation, dont le principe est nécessaire et ne saurait être remis en cause, peut avoir des conséquences, notamment organisationnelles, pour les entreprises et les administrations concernées.

C'est pourquoi le présent amendement propose de différer l'entrée en vigueur du dispositif et de prévoir la réalisation d'une étude d'impact par le Gouvernement.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 18

22 mars 2010


 

AMENDEMENT

présenté par

C
G  
Retiré

MM. DOMEIZEL, Charles GAUTIER

et les membres du Groupe socialiste


ARTICLE 4


Supprimer cet article.

Objet

La nouvelle rédaction de l'article 26 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, tend à limiter le pouvoir d'appréciation de la CNIL quant aux finalités assignées aux fichiers de police. En effet, rappelons que l'actuel article 26 de la loi « Informatique et libertés » lui permet de veiller à ce que les finalités soient déterminées, explicites et légitimes, lorsque la CNIL examine les décrets ou arrêtés créant ces fichiers.

Or la rédaction proposée à l'article 4 de la proposition de loi, en énumérant 13 finalités et catégories de fichiers, rend ces derniers, par principe, légitimes puisque créés par la loi.

Par ailleurs, le régime appliqué à l'expérimentation des nouveaux fichiers de police, tel qu'il est défini aux termes de cet article, ne garantit pas l'exercice d'un véritable contrôle de leur mise en œuvre par la Commission nationale de l'informatique et des libertés. En effet, les traitements expérimentaux seraient simplement soumis à un régime de déclaration, sans avis ni publicité, ce qui n'est pas satisfaisant, si l'on se réfère, à titre d'illustration, à la polémique autour du fichier Edvige, pourtant créé par décret pris après avis de la CNIL. Que serait-il advenu si un tel fichier avait été créé à titre expérimental par une simple déclaration sans avis de la CNIL ?






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 1

15 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes BOUMEDIENE-THIERY, BLANDIN et VOYNET et MM. DESESSARD et MULLER


ARTICLE 4


Rédiger ainsi cet article :

L'article 26 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 26. - I. - Sont autorisés par décret du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'État et qui intéressent la sûreté de l'État ou la défense nationale. L'avis de la Commission nationale de l'informatique et des libertés est publié en même temps que le décret autorisant le traitement.

« Les actes réglementaires qui autorisent les traitements mentionnés à l'alinéa précédent sont portés à la connaissance de la délégation parlementaire au renseignement.

« II. - Sont autorisés par la loi les traitements de données à caractère personnel mis en œuvre pour le compte de l'État et :

« 1° Qui intéressent la sécurité publique ;

« 2° Qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ;

« 3° Qui portent sur des données mentionnées au I et II de l'article 8.

« III. Des catégories de traitements de données à caractère personnel peuvent également être autorisés par la loi lorsqu'elles sont constituées par des traitements qui répondent à une même finalité, portent sur les mêmes catégories de données et ont les mêmes catégories de destinataires.

« IV- L'avis de la Commission nationale de l'informatique et des libertés mentionné au a du 4° de l'article 11 sur tout projet de loi autorisant la création d'une telle catégorie de traitements de données est transmis au Parlement simultanément au dépôt du projet de loi. »

Objet

Il est fondamental que la création de fichiers relève d'une autorisation du législateur.

Le Parlement ne saurait accepter que le traitement automatisé de données sensibles puisse être autorisé par simple décret, évitant ainsi un double contrôle : celui du Parlement, et celui du Conseil constitutionnel.

C'est la raison pour laquelle cet amendement place sous le contrôle du Parlement le recueil et le traitement automatisé des données personnelles mis en œuvre pour le compte de l'Etat, en l'assortissant d'un certain nombre d'exigences.

A titre dérogatoire, le présent amendement propose de préserver la compétence du pouvoir exécutif dans la création des traitements intéressant la sûreté de l'Etat et la défense nationale.

Cependant, le projet de décret portant création de tels traitements devra nécessairement faire l'objet d'un avis de la CNIL.

Enfin, le décret sera publié et transmis à la délégation parlementaire au renseignement.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 14

22 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

M. Charles GAUTIER

et les membres du Groupe socialiste, apparentés et rattachés


ARTICLE 4


Alinéas 2 à 21

Remplacer ces alinéas par 34 alinéas ainsi rédigés :

Rédiger ainsi ces alinéas :

« Art. 26. - I. - Les traitements ou catégories traitements de données à caractère personnel mis en œuvre pour le compte de l'État et qui intéressent la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, ne peuvent être autorisés par la loi qu'à la condition de répondre à une ou plusieurs des finalités suivantes :

« 1° Permettre aux services de renseignement qui n'interviennent pas en matière de sûreté de l'État et de défense, d'exercer leurs missions ;

« 2° Permettre aux services de police judiciaire d'opérer des rapprochements entre des infractions susceptibles d'être liées entre elles, à partir des caractéristiques de ces infractions, afin de faciliter l'identification de leurs auteurs ;

« 3° Faciliter par l'utilisation d'éléments biométriques ou biologiques se rapportant aux personnes, d'une part la recherche et l'identification des auteurs de crimes et de délits, d'autre part la poursuite, l'instruction et le jugement des affaires dont l'autorité judiciaire est saisie ;

« 4° Répertorier les personnes et les objets signalés par les services habilités à alimenter le traitement, dans le cadre de leurs missions de police administrative ou judiciaire, afin de faciliter les recherches des services enquêteurs et de porter à la connaissance des services intéressés la conduite à tenir s'ils se trouvent en présence de la personne ou de l'objet ;

« 5° Faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ;

« 6° Faciliter la diffusion et le partage des informations détenues par différents services de police judiciaire, sur les enquêtes en cours ou les individus qui en font l'objet, en vue d'une meilleure coordination de leurs investigations ;

« 7° Centraliser les informations destinées à informer le Gouvernement et le représentant de l'État afin de prévenir les atteintes à la sécurité publique ;

« 8° Procéder à des enquêtes administratives liées à la sécurité publique ;

« 9° Faciliter la gestion administrative ou opérationnelle des services de police et de gendarmerie ainsi que des services chargés de l'exécution des décisions des juridictions pénales en leur permettant de consigner les événements intervenus, de suivre l'activité des services et de leurs agents, de suivre les relations avec les usagers du service, d'assurer une meilleure allocation des moyens aux missions et d'évaluer les résultats obtenus ;

« 10° Organiser le contrôle de l'accès à certains lieux nécessitant une surveillance particulière ;

« 11° Recenser et gérer les données relatives aux personnes ou aux biens faisant l'objet d'une même catégorie de décision administrative ou judiciaire ;

« 12° Faciliter l'accomplissement des tâches liées à la rédaction, à la gestion et à la conservation des procédures administratives et judiciaires et assurer l'alimentation automatique de certains fichiers de police ;

« 13° Recevoir, établir, conserver et transmettre les actes, données et informations nécessaires à l'exercice des attributions du ministère public et des juridictions pénales, et à l'exécution de leurs décisions.

« Les catégories de traitements de données à caractère personnel sont constituées par les traitements qui répondent aux mêmes finalités, peuvent comporter tout ou partie d'un ensemble commun de données, concernent les mêmes catégories de personnes et obéissent aux mêmes règles générales de fonctionnement.

« L'avis de la Commission nationale de l'informatique et des libertés mentionnées au a du 4°sur tout projet de loi autorisant la création d'un tel traitement ou d'une telle catégorie de traitements de données est transmis au Parlement simultanément au dépôt du projet de loi.

« II. - La loi autorisant un traitement ou une catégorie de traitements de données mentionnés au I prévoit :

« - les services responsables ;

« - la nature des données à caractère personnel prévues au I de l'article 8 dont la collecte, la conservation et le traitement sont autorisés, dès lors que la finalité du traitement l'exige ;

« - l'origine de ces données et les catégories de personnes concernées ;

« - la durée de conservation des informations traitées ;

« - les destinataires ou catégories de destinataires des informations enregistrées ;

« - la nature du droit d'accès des personnes figurant dans les traitements de données aux informations qui les concernent ;

« - les interconnexions autorisées avec d'autres traitements de données.

« III. - Sont autorisés par décret en Conseil d'État, après avis motivé et publié de la commission, les traitements de données à caractère personnel mis en œuvre pour le compte de l'État et qui intéressent la sûreté de l'État ou la défense.

« Ces traitements peuvent être dispensés, par décret en Conseil d'État, de la publication de l'acte réglementaire qui les autorise.

« Pour ces traitements :

« - est publié en même temps que le décret autorisant la dispense de la publication de l'acte, le sens de l'avis émis par la commission ;

«  - l'acte réglementaire est transmis à la délégation parlementaire au renseignement et à la commission.

« IV. - Les modalités d'application du I sont fixées par arrêté. Si les traitements portent sur des données mentionnées au I de l'article 8, ces modalités sont fixées par décret en Conseil d'État.

La commission publie un avis motivé sur tout projet d'acte réglementaire pris en application d'une loi autorisant une catégorie de traitements de données conformément au I du présent article.

« V. - Dans les traitements mentionnés au 1° et 7° du I du présent article, la durée de conservation des données concernant les mineurs est inférieure à celle applicable aux majeurs, sauf à ce que leur enregistrement ait été exclusivement dicté par l'intérêt du mineur. Cette durée est modulée afin de tenir compte de la situation particulière des mineurs et, le cas échéant, en fonction de la nature et de la gravité des atteintes à la sécurité publique commises par eux.

« VI. - Lorsque la mise au point technique d'un traitement mentionné au I nécessite une exploitation en situation réelle de fonctionnement, un tel traitement peut être mis en œuvre à titre expérimental pour une durée de dix-huit mois, après déclaration auprès de la Commission nationale de l'informatique et des libertés.

« Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les modalités selon lesquelles la commission est informée de l'évolution technique d'un tel projet de traitement et fait part de ses recommandations au seul responsable de ce projet.

« VII - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la Commission nationale de l'informatique et des libertés un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

Objet

Le présent amendement tend à poser un principe simple : la nécessité de passer par la loi pour créer tout fichier ou catégorie de fichiers de police tout en maintenant la compétence exclusive du pouvoir règlementaire pour les traitements intéressant la sûreté de l'État ou la défense.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 31

23 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 4


I. - Alinéas 2 et 3

Rédiger ainsi ces alinéas :

« Art. 26. - I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'État et qui intéressent la sûreté de l'État ou la défense.

« II. - Les traitements de données à caractère personnel mis en œuvre pour le compte de l'État et qui intéressent la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, ne peuvent être autorisés qu'à la condition de répondre à une ou plusieurs des finalités suivantes : »

II. - En conséquence :

a) Alinéas 4 à 15, références 2° à 13°

Remplacer ces références par les références :

1° à 12°

b) Alinéas 16 à 24, références II à VI

Remplacer ces références par les références :

III à VII.

c) Alinéa 16

Remplacer les mots :

mentionnés au I

par les mots :

mentionnés au II

d) Alinéa 17

Remplacer les mots :

traitements mentionnés au I

par les mots :

traitements mentionnés au I ou au II

e) Alinéa 19

Remplacer les mots :

au 7° du I

par les mots :

au 6° du II

III. - Alinéa 20, première phrase

Remplacer les mots :

Les traitements de données à caractère personnel intéressant la sûreté de l'État et la défense

par les mots :

Certains traitements mentionnés au I

IV. - Alinéa 22

Remplacer les mots :

au I

par les mots :

au I ou au II

Objet

Le Gouvernement est opposé à l'article 4 de la proposition de loi tel qu'il a été adopté par la Commission des lois du Sénat.

Tout comme le Parlement, le Gouvernement souhaite que les traitements de police ne puissent être créés par voie réglementaire que s'ils répondent à une finalité préalablement définie par la loi.

L'article 29 bis de la proposition de loi de simplification et d'amélioration de la qualité du droit, adoptée par l'Assemblée nationale en première lecture le 2 décembre 2009, modifie l'article 26 de la loi du 6 janvier 1978 en ce sens. La rédaction retenue préserve un équilibre entre la garantie des droits et libertés et la souplesse nécessaire pour permettre au Gouvernement de mettre en œuvre des fichiers opérationnels dans des délais raisonnables.

Cette proposition de loi a été transmise le 3 décembre 2009 au Sénat.

Il est vrai que le présent article 4 se rapproche sur de nombreux points de l'article 29 bis de la proposition de loi de simplification et d'amélioration de la qualité du droit, mais il s'en écarte sur un point important.

Le régime consistant à ne permettre la création de traitements par voie réglementaire que lorsqu'ils répondent à des finalités définies dans la loi est ici étendu aux traitements qui intéressent la sûreté de l'État et la défense, qui n'étaient visés ni dans la proposition de loi initiale, ni dans le rapport de Mme Batho et de M. Bénisti sur les fichiers de police, aux conclusions duquel le rapport de M. Détraigne et de Mme Escoffier se réfère sur ce point, ni dans la proposition de loi du président Warsmann dont le Sénat est saisi par ailleurs.

Le Gouvernement est favorable à une évolution de l'encadrement juridique des fichiers de police, c'est-à-dire des fichiers qui intéressent la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, qui étaient visés par les textes déjà cités. Corrélativement, compte tenu de leur spécificité, il souhaite le maintien du régime actuel pour les traitements qui intéressent la sûreté de l'État et la défense, que ces propositions n'ont pas entendu remettre en cause.

C'est un équilibre qui a été constant jusqu'à présent, et c'est la raison pour laquelle ce type de traitements a été exclu de la proposition de loi de simplification et d'amélioration de la qualité du droit. Il convient de s'en tenir à cette position.

C'est pourquoi le Gouvernement propose que les dispositions de l'article 4 soient identiques à celles de l'article 29 bis de la proposition de loi de simplification et d'amélioration de la qualité du droit, adopté par l'Assemblée nationale, en première lecture le 2 décembre dernier.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 44

23 mars 2010


 

SOUS-AMENDEMENT

à l'amendement n° 31 du Gouvernement

présenté par

C Favorable
G Défavorable
Adopté

MM. TÜRK et AMOUDRY


ARTICLE 4


Alinéa 4 de l'amendement n° 31

Avant les mots :

Les traitements de données

insérer les mots :

Sans préjudice des dispositions de l'article 6,

Objet

L'article 4, dans sa rédaction actuelle, entend préciser que les traitements de données à caractère personnel relevant de l'article 26, et en particulier les fichiers de police, pourront être autorisés s'ils répondent à une ou plusieurs des treize finalités déterminées aux termes du même article.

Si, de prime abord, l'objectif poursuivi - assurer un meilleur encadrement des fichiers de police - est légitime, cette nouvelle rédaction de l'article 26 ne permet pas de garantir que, pour chaque création de traitement, le contrôle de proportionnalité prévu par l'article 6 de la loi du 6 janvier 1978 modifiée par la loi du 6 aout 2004 sera bien exercé. Cet article dispose, en particulier, que les données ne sont collectées que pour des finalités déterminées, légitimes et explicites.

Compte tenu de la sensibilité particulière de ces traitements, il importe donc de rappeler expressément qu'ils ne peuvent être autorisés que s'ils respectent le principe de proportionnalité prévu par l'article 6. Tel est l'objet du présent sous-amendement.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 45 rect.

23 mars 2010


 

SOUS-AMENDEMENT

à l'amendement n° 31 du Gouvernement

présenté par

C Favorable
G Défavorable
Adopté

MM. TÜRK et AMOUDRY


ARTICLE 4


Rédiger ainsi le IV de l'amendement n° 31 :

IV. - Alinéa 22

Rédiger ainsi cet alinéa :

« VI - Lorsque la mise au point technique d'un traitement mentionné au I ou au II nécessite une exploitation en situation réelle de fonctionnement, un tel traitement peut être autorisé, à titre expérimental, pour une durée maximale de dix-huit mois, par arrêté pris après avis de la CNIL. Cet arrêté détermine les finalités, la durée et le champ d'application de l'expérimentation.

Objet

L'article 26 introduit un régime particulier pour les expérimentations des fichiers de police qui correspond à une nécessité sur laquelle chacun s'accorde. S'il est opportun d'introduire un régime juridique particulier pour ces expérimentations, il convient cependant que celui-ci soit assorti de certaines garanties dans sa mise en œuvre.

Or tel que cet alinéa est rédigé, les expérimentations des nouveaux fichiers de police seraient simplement soumis à un régime de déclaration, ce qui ne garantit pas l'exercice d'un quelconque contrôle par la Commission nationale de l'informatique et des libertés.

Ces traitements de données à caractère personnel revêtent pourtant une sensibilité particulière, eu égard à leurs finalités et aux données qu'ils peuvent contenir. C'est pourquoi il est proposé que l'expérimentation soit autorisée par un simple arrêté, pris après avis de la Commission. En outre, il importe d'encadrer cette expérimentation en prévoyant que cet arrêté détermine, au minimum, les finalités, la durée et le champ d'application de cette expérimentation.

Il convient enfin de rappeler que l'article 4 quater donne délégation au bureau de la Commission pour prononcer un avis sur ces expérimentations, ce qui garantit qu'elles interviendront dans des délais rapides.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 20 rect.

23 mars 2010


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Tombé

MM. TÜRK et AMOUDRY


ARTICLE 4


Alinéa 2

Avant les mots :

Les traitements de données à caractère personnel

insérer les mots :

Sans préjudice des dispositions de l'article 6,

Objet

L'article 4, dans sa rédaction actuelle, entend préciser que les traitements de données à caractère personnel relevant de l'article 26, et en particulier les fichiers de police, pourront être autorisés s'ils répondent à une ou plusieurs des treize finalités déterminées aux termes du même article.

Si, de prime abord, l'objectif poursuivi - assurer un meilleur encadrement des fichiers de police - est légitime, cette nouvelle rédaction de l'article 26 ne permet pas de garantir que, pour chaque création de traitement, le contrôle de proportionnalité prévu par l'article 6 de la loi du 6 janvier 1978 modifiée par la loi du 6 aout 2004 sera bien exercé. Cet article dispose, en particulier, que les données ne sont collectées que pour des finalités déterminées, légitimes et explicites.

Compte tenu de la sensibilité particulière de ces traitements, il importe donc de rappeler expressément qu'ils ne peuvent être autorisés que s'ils respectent le principe de proportionnalité prévu par l'article 6. Tel est l'objet du présent amendement.


NB : La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 25

22 mars 2010


 

AMENDEMENT

présenté par

C
G  
Retiré

MM. TÜRK et AMOUDRY


ARTICLE 4


Alinéas 12 et 13

Supprimer ces alinéas.

 

Objet

Cet amendement propose une nouvelle rédaction de l'article 26 (nouveau), plus simple et plus succincte. Il s'agit en effet de réduire la liste des finalités pour lesquelles les traitements de données à caractère personnel de « souveraineté » (police-justice) pourraient être autorisés. Ces finalités sont au nombre de treize dans le texte qui est proposé.

En effet, certaines des catégories énoncées  sont imprécises et peu explicites. Or, l'article 6 de la loi du 6 janvier 1978 modifiée par la loi du 6 aout 2004 impose que les données soient collectées pour des finalités déterminées, légitimes et explicites. Ainsi, la finalité visée au 10°, relative au  contrôle d'accès à certains « lieux nécessitant une surveillance particulière », n'apparait pas suffisamment circonscrite quant aux lieux susceptibles d'être concernés. De même, la finalité visée au 11° concernant le « recensement et la gestion des données relatives aux personnes ou aux biens faisant l'objet d'une même catégorie de décisions administratives ou judiciaires » mériterait d'être explicitée.

En outre, dans la mesure où ces catégories  de traitements de données à caractère personnel  revêtent une particulière sensibilité il importe d'encadrer strictement les finalités pour lesquelles ils peuvent être autorisés. Tel est l'objet du présent amendement.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 19

22 mars 2010


 

AMENDEMENT

présenté par

C Demande de retrait
G Défavorable
Tombé

MM. TÜRK et AMOUDRY


ARTICLE 4


Alinéa 22

Rédiger ainsi cet alinéa :

«V - Lorsque la mise au point technique d'un traitement mentionné au I nécessite une exploitation en situation réelle de fonctionnement, un tel traitement peut être autorisé, à titre expérimental, pour une durée maximale de dix-huit mois, par arrêté pris après avis de la CNIL. Cet arrêté détermine notamment les finalités, la durée et le champ d'application de l'expérimentation.

Objet

Le V de l'article 26 introduit un régime particulier pour les expérimentations des fichiers de police qui correspond à une nécessité sur laquelle chacun s'accorde. S'il est opportun d'introduire un régime juridique particulier pour ces expérimentations, il convient cependant que celui-ci soit assorti de certaines garanties dans sa mise en œuvre.

Or tel que cet alinéa est rédigé, les expérimentations des nouveaux fichiers de police seraient simplement soumis à un régime de déclaration, ce qui ne garantit pas l'exercice d'un quelconque contrôle par la Commission nationale de l'informatique et des libertés.

Ces traitements de données à caractère personnel revêtent pourtant une sensibilité particulière, eu égard à leurs finalités et aux données qu'ils peuvent contenir. C'est pourquoi il est proposé que l'expérimentation soit autorisée par un simple arrêté, pris après avis de la Commission. En outre, il importe d'encadrer cette expérimentation en prévoyant que cet arrêté détermine, au minimum, les finalités, la durée et le champ d'application de cette expérimentation.

Il convient enfin de rappeler que l'article 4 quater donne délégation au bureau de la Commission pour prononcer un avis sur ces expérimentations, ce qui garantit qu'elles interviendront dans des délais rapides.


NB : La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 2

15 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes BOUMEDIENE-THIERY, BLANDIN et VOYNET et MM. DESESSARD et MULLER


ARTICLE ADDITIONNEL APRÈS ARTICLE 4


Après l'article 4, insérer un article additionnel ainsi rédigé :

Après l'article 26 de la loi n° 78-17 du 6 janvier 1978 précitée, il est inséré un article 26-1 ainsi rédigé :

« Art. 26-1.- La loi autorisant un traitement ou une catégorie de traitements de données mentionnés à l'article 26, contient, pour chaque traitement ou catégorie de traitement créé :

« - les services responsables ;

« - leurs finalités ;

« - la durée de conservation des informations traitées ;

« - les modalités de destruction des informations traitées ;

« - les modalités de traçabilité des consultations du traitement ;

« - la procédure offerte aux personnes souhaitant procéder à une vérification de l'exactitude des informations recueillies ou à leur effacement. »

Objet

Se justifie par son texte même.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 3

15 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes BOUMEDIENE-THIERY, BLANDIN et VOYNET et MM. DESESSARD et MULLER


ARTICLE ADDITIONNEL APRÈS ARTICLE 4


Après l'article 4, insérer un article additionnel ainsi rédigé :

Après l'article 26 de la loi n° 78-17 du 6 janvier 1978 précitée, il est inséré un article ainsi rédigé :

« Art. ... - Lorsqu'une loi autorise un traitement de données à caractère personnel mis en œuvre pour le compte de l'État conformément au II de l'article 26, son décret d'application est pris après avis de la Commission nationale de l'informatique et des libertés. L'avis est publié avec le décret correspondant. »

Objet

Coordination.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 41 rect.

23 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 4 BIS


A. - Alinéa 2

Remplacer les mots :

deuxième alinéa du II

par les mots :

deuxième alinéa du III

B. - Alinéa 3

Remplacer la référence :

VI

par la référence :

VII

C. - Alinéa 4

Remplacer la référence :

IV

par la référence :

V

D. - Alinéa 5

Remplacer les mots :

la référence : « IV »

par les mots :

la référence : « V »

E. - Alinéa 6

Remplacer cet alinéa par trois alinéas ainsi rédigés :

5° Aux 1°, 2° et 3° du II de l'article 45, les références : « au I et au II » sont remplacées par les références : « aux I, II et III » ;

6° Au premier alinéa de l'article 49, les références : « au I ou au II » sont remplacées par les références : « aux I, II ou III » ;

7° Au huitième alinéa de l'article 69, les références : « au I ou au II » sont remplacées par les références : « aux I, II ou III ».

Objet

Cet amendement de coordination est rendu nécessaire par la nouvelle rédaction de l'article 26 de la loi informatique et Libertés proposée par l'amendement n° 31.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 42

23 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 4 TER


I. - Alinéa 2, deuxième phrase

Remplacer les références :

I, II et VI

par les références :

I, II, III et VII

II. - Alinéa 2, troisième phrase

Remplacer la référence :

V

par la référence :

VI

Objet

Cet amendement de coordination est rendu nécessaire par la nouvelle rédaction de l'article 26 de la loi informatique et Libertés proposée par l'amendement n° 31.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 4

15 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Tombé

Mmes BOUMEDIENE-THIERY, BLANDIN et VOYNET et MM. DESESSARD et MULLER


ARTICLE 4 TER


Alinéa 2, troisième phrase

Supprimer cette phrase.

Objet

Coordination.


NB : La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 5

15 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes BOUMEDIENE-THIERY, BLANDIN et VOYNET et MM. DESESSARD et MULLER


ARTICLE 4 QUATER


Supprimer cet article.

Objet

Coordination.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 43

23 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 4 QUATER


Alinéa 2

Remplacer la référence :

V

par la référence :

VI

Objet

Cet amendement de coordination est rendu nécessaire par la nouvelle rédaction de l'article 26 de la loi informatique et Libertés proposée par l'amendement n°31.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 13

22 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Sagesse du Sénat
Adopté

M. Charles GAUTIER

et les membres du Groupe socialiste, apparentés et rattachés


ARTICLE 4 QUINQUIES


Alinéa 2

Après les mots :

données enregistrées

insérer les mots :

, les interconnexions autorisées avec d'autres traitements de données

Objet

Cet amendement complète l'article 4 quinquies qui modifie l'article 29 de la loi « informatique et libertés » afin de rendre obligatoire dans les actes qui créent des fichiers de police l'inscription des interconnexions autorisées avec d'autres traitements de données.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 32

23 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 4 SEPTIES


Supprimer cet article.

Objet

L'article 4 septies vise à imposer de nouvelles obligations aux procureurs de la République en matière de mise à jour des fichiers d'antécédents judiciaires (STIC pour la police nationale et JUDEX pour la gendarmerie nationale) : délai d'un mois pour traiter les requêtes des particuliers, information du requérant en cas de maintien d'une mention au fichier, mise à jour quel que soit le motif de classement sans suite (y compris en cas de mesures alternatives aux poursuites), et information simultanée à tous les gestionnaires de fichiers de police judiciaire, aux fins de mise à jour.

De telles obligations ne paraissent pas de nature à atteindre l'objectif d'une mise à jour plus rigoureuse des fichiers JUDEX et STIC.

Il convient, tout d'abord, de souligner que les délais de traitement des requêtes de mise à jour des particuliers sont déjà encadrés, à un niveau règlementaire.

En effet, l'article 87-1 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dispose que le procureur de la République se prononce dans un délai de trois mois sur les suites qu'il convient de leur réserver. Si la demande a d'abord été adressée à la Commission nationale de l'informatique et des libertés, qui saisit ensuite le parquet compétent, le délai maximal de traitement est de six mois.

Le recensement mené par le ministère de la justice pour l'année 2008 montre que les parquets respectent déjà ces prescriptions, et traitent ces requêtes dans un délai compris entre 15 jours et 2 mois, selon la complexité de la demande.

Ces délais de traitement, déjà inférieurs aux obligations règlementaires, ne sont pas imputables à l'inertie des juridictions, mais justifiés par la mise en œuvre des diligences nécessaires à l'instruction des requêtes : interrogation des services gestionnaires des fichiers pour obtenir la liste des procédures enregistrées (les parquets n'ont pas accès aux fichiers JUDEX et STIC), recherche et réponse de ces services, comparaison par les parquets avec les données enregistrées au casier judiciaire national et dans les chaînes pénales ainsi que, le cas échéant, recherche des procédures, puis instructions éventuelles de mise à jour et, enfin, prise en compte de ces instructions par les services gestionnaires. De telles démarches peuvent s'avérer complexes et longues, dès lors que la personne a été mise en cause dans des dizaines de procédures, qui peuvent en outre avoir été établies dix ou vingt années auparavant, dans des ressorts de juridictions différentes.

Fixer aux parquets, par la loi, un délai d'un mois pour le traitement des requêtes des particuliers n'apporterait donc aucune plus-value dans la diligence dont ils font, déjà, preuve : au contraire, fixer un délai, dans certains cas, trop court pourrait s'avérer contre-productif, en ce que les parquets le sauraient, d'office, irréalistes.

Par ailleurs, les décisions de mise à jour des fichiers d'antécédents judiciaires, certes prises sur prescription du procureur de la République, relèvent de la compétence exclusive des services gestionnaires des traitements, qui procèdent du reste seuls, sur le plan pratique, à ladite mise à jour : il n'est d'ailleurs pas rare que les prescriptions du parquet ne soient pas suivies par les services, comme les termes de l'article 21 de la loi du 18 mars 2003 les y autorisent. Dans cette hypothèse, ou lorsque le service gestionnaire n'a pu, pour des raisons pratiques, mettre rapidement à exécution les prescriptions du parquet (le rapport des députés Mme BATHO et M. BENISTI faisait état de retards importants chez certains services gestionnaires), l'information par le parquet pourrait même s'avérer trompeuse pour le requérant qui croirait, à tort, avoir obtenu satisfaction.

Dès lors, si une information du requérant est envisagée en cas de maintien d'une mention au fichier, elle doit incomber aux services gestionnaires des traitements, seuls décideurs, et non pas aux parquets, qui ne sont que prescripteurs.

De plus, l'obligation de mettre à jour les fichiers d'antécédents judiciaires quel que soit le motif de classement sans suite apparaît peu opportune, compte-tenu de la diversité des motifs sous-tendant les décisions d'orientation des procédures judiciaires.

En effet, les classements sans suite consécutifs à des alternatives aux poursuites tiennent compte d'éléments divers tenant à l'ancienneté et la gravité des faits, mais aussi à la personnalité de l'auteur et à la politique pénale mise en œuvre sur chaque ressort judiciaire. En tout état de cause, ces décisions de classement sans suite ne peuvent s'apprécier comme le reflet du seul critère de la faible gravité des faits : au contraire, la diversité des paramètres qui les motivent ne permet pas de les ériger en critère légal et équitable de mise à jour des fichiers d'antécédents.

Enfin, les différents fichiers de police judiciaire ne poursuivent pas les mêmes finalités et n'obéissent absolument pas aux mêmes règles de mise à jour. Par exemple, un individu est poursuivi pour viol, puis bénéficie d'une relaxe en raison de l'abolition de son discernement : en l'état des textes, le procureur de la République peut, pour cette même procédure, prescrire l'effacement de données dans le STIC, tout en sollicitant leur maintien dans SALVAC, qui est un fichier de rapprochement des procédures de crimes et délits graves commis contre les personnes, et au Fichier national automatisé des empreintes génétiques, qui est un fichier d'identification des auteurs d'infractions. Dans un tel cas, l'effacement de toutes les données dans tous les fichiers ne pourrait être que contradictoire avec les objectifs de lutte contre l'insécurité et de prévention de la récidive.

La mise à jour simultanée des fichiers de police judiciaire paraît donc moins relever du domaine législatif que de celui des bonnes pratiques recommandées aux parquets, dans le respect de leurs prérogatives et des règles et finalités propres à chaque fichier.





Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 33

23 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 4 OCTIES


Supprimer cet article.

Objet

Tant le motif que la rédaction de l'article 4 octies posent de réelles difficultés.

On ne saurait caricaturer le ministère public, comme le font certains des avocats entendus par les députés, en le réduisant à une somme d'individus multipliant les références à des mentions non vérifiées aux fichiers JUDEX et STIC dans leurs réquisitions à l'audience.

Le ministère public est constitué de magistrats garants de la loyauté du procès, et sont aujourd'hui très largement sensibilisés à la nécessaire prudence devant présider à l'exploitation des données issues des fichiers d'antécédents.

La réalité de leurs pratiques est d'autant plus éloignée de cette image caricaturée que la mention en procédure des informations enregistrées dans les fichiers est déjà encadrée depuis 2006, à un niveau règlementaire.

En effet, les décrets n° 2001-583 et 2006-1411 autorisant respectivement les fichiers STIC et JUDEX disposent que « seules celles des informations enregistrées dans le traitement automatisé [...] qui sont relatives à la procédure en cours peuvent être jointes au dossier de la procédure » : il en résulte, comme le précise une circulaire du ministère de la justice de décembre 2006, qu'il n'est pas possible d'utiliser ces fichiers pour obtenir des éléments de personnalité, sauf demande expresse des magistrats. Il en ressort aussi clairement que les éléments exploités en procédure sont joints au dossier de celle-ci.

Enfin, et en tout état de cause, le principe du contradictoire constitue un principe fondamental de la procédure pénale, en vertu duquel les charges retenues par les magistrats du parquet peuvent être contestées par la défense, puis écartées par les magistrats du siège qui sont libres de les apprécier souverainement.

Dans ces conditions, l'obligation imposée l'article 4 octies est superfétatoire, en ce qu'elle ne constitue qu'une déclinaison évidente du principe du contradictoire.

Il est d'ailleurs permis de souligner que l'article 4 octies n'impose cette obligation que dans le cadre des procédures de comparution immédiate et de convocation par procès-verbal. Ces procédures représentent environ un dixième des poursuites correctionnelles. Or, les décrets n° 2001-583 et 2006-1411, ainsi que le principe général du contradictoire permettent d'encadrer, de manière efficace, dans toutes les procédures, les références éventuelles aux fichiers. Adopter l'article 4 octies pourrait donc laisser comprendre, en creux, que le principe du contradictoire en la matière ne trouve à s'appliquer que pour les poursuites susvisées, et non pas pour l'intégralité des procédures. Cela représenterait un recul, par rapport à l'état actuel du droit, en matière de garantie des droits de la défense.





Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 34

23 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 5 BIS


Supprimer cet article.

Objet

Le texte issu de la commission des lois généralise la publication de l'avis de la CNIL, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après recueil de cet avis. Actuellement, la publicité de l'avis n'est prévue que dans le cadre de la mise en œuvre des articles 26 et 27 de la loi du 6 janvier 1978 modifiée.

Il convient d'en rester au dispositif actuel. En effet, la publication systématique de l'avis de la Commission n'est réellement justifiée qu'en ce qui concerne les traitements automatisés de données qui sont susceptibles de porter atteinte à la vie privée et aux libertés des personnes concernées. En revanche, l'extension de ce dispositif à l'ensemble des décrets et arrêtés donnant à lieu à consultation de la CNIL, quels que soient la finalité du traitement et le régime auquel il est soumis, risquerait de porter atteinte au secret des délibérations du Gouvernement.

La CNIL deviendrait la seule autorité administrative indépendante dont les avis seraient systématiquement publiés. Les avis de la CNIL ne doivent ni devenir le vecteur de la création d'une doctrine ni un instrument de communication externe de la commission.

En tout état de cause, la publication systématique des avis est inadaptée par sa généralité : il est préférable que le législateur se pose la question, au cas par cas, lorsqu'il prévoit un avis de la CNIL.





Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 9

19 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

M. TÜRK


ARTICLE 5 BIS


Alinéa 2

Remplacer les mots :

À l'exception des

par les mots :

Outre les

Objet

Rédactionnel.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 35 rect.

23 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 6


I. - Alinéa 1

Rédiger ainsi cet alinéa :

Les I et I bis de l'article 32 de la loi n° 78-17 du 6 janvier 1978 précitée sont ainsi rédigés :

II. - Alinéas 16 à 23

Supprimer ces alinéas.

Objet

L'article 6 modifie l'article 32 de la loi du 6 janvier 1978 modifiée qui précise les obligations d'information incombant aux responsables de traitements. Ce faisant, il renforce les garanties des personnes concernées par la collecte de données.

Cependant, l'article 6 modifie le II de l'article 32 pour transposer en partie, l'article 5 §3 de la directive "vie privée et communications électroniques", dans sa version résultant de la directive 2009/136/CE du 25 novembre 2009. Or, la transposition envisagée par le texte issu de la commission des lois est incomplète. En effet, elle ne transpose pas entièrement l'article 5 §3 de la directive modifiée qui prévoit que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement.

Ceci dit, la réflexion doit encore se poursuivre tant sur la possibilité juridique laissée par la directive que sur l'opportunité économique de passer du principe de l'opposition, en vertu duquel l'internaute dispose des moyens pour rejeter les cookies, à une logique de consentement, selon laquelle l'internaute doit positivement approuver la transmission des cookies.

La transposition de la directive 2009/136/CE, dont la date limite est fixée au 25 mai 2011, est en cours de préparation. Une prise en compte globale et cohérente des problématiques abordées par le texte européen est préférable à une transposition morcelée.

C'est pourquoi le Gouvernement estime que les dispositions des alinéas 16 à 23 de l'article 6 doivent être supprimées.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 26

22 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. TÜRK et AMOUDRY


ARTICLE 6


Alinéa 20

Rédiger ainsi cet alinéa :

« - Des moyens mis en œuvre par le responsable du traitement pour recueillir le consentement de l'utilisateur préalablement à l'accès ou à l'inscription de ces informations.

Objet

Cet article concerne notamment l'utilisation de cookies pour « profiler » les internautes et leur adresser des publicités ciblées. La rédaction actuelle de la proposition prévoit que le responsable de traitement doit informer l'utilisateur « des moyens dont il dispose pour exprimer ou refuser son consentement », sans toutefois imposer explicitement une information et un consentement préalables à l'implantation des cookies. Or, face à l'explosion de systèmes de publicité comportementale de plus en plus intrusifs qui conduisent à un profilage détaillé des individus, le plus souvent à leur insu, il convient de renforcer l'information et les droits des internautes.

La CNIL a d'ailleurs récemment souligné, dans son rapport sur « La publicité ciblée en ligne », publié en février 2009 que « seul un « opt-in » portant à la fois sur la collecte de données et l'affichage de publicités comportementales pourrait réellement donner un contrôle aux utilisateurs ».

La rédaction de l'article 32-II proposée dans cet amendement vise donc notamment à préciser que l'information et le recueil du consentement de l'utilisateur doivent être préalables à l'accès ou à l'inscription d'informations dans les équipements des utilisateurs, conformément d'ailleurs à ce que prévoit la directive 2009/136/CE du 25 novembre 2009 modifiant notamment l'article 5 de la directive « Vie privée et communications électroniques » 2002/58/CE.

En effet, la directive modifiée dispose notamment que « le stockage d'informations ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis que si l'abonné ou l'utilisateur a donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. ». La directive impose donc une information préalable, qui est d'ailleurs un pré-requis pour que l'utilisateur puisse effectivement exprimer son accord.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 28

22 mars 2010


 

AMENDEMENT

présenté par

C
G  
Retiré

MM. TÜRK et AMOUDRY


ARTICLE 6


I. - Alinéa 2

Après les mots :

caractère personnel 

insérer les mots :

auprès de la personne concernée

II. - Alinéa 13

Remplacer les mots :

au premier alinéa de l'article 38

par les mots :

à l'article 38

Objet

La proposition de loi prévoit de modifier l'article 32 de la loi « informatique et libertés » en précisant désormais que l'information de la personne concernée est délivrée « dès la collecte des données ».

Il serait souhaitable que la rédaction de l'article 32 I telle que proposée soit complétée afin d'éviter toute confusion avec le III de ce même article portant sur la collecte indirecte et prévoyant des modalités d'information distinctes.

C'est pourquoi le présent amendement a pour objet de préciser au 2ème alinéa de l'article 6 de la loi que le I régit la collecte auprès de la personne concernée, par opposition aux cas de collecte indirecte, et d'en tirer les conséquences rédactionnelles au niveau des 3ème, 13ème et 14ème alinéas.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 27

22 mars 2010


 

AMENDEMENT

présenté par

C
G  
Retiré

MM. TÜRK et AMOUDRY


ARTICLE 6


Alinéa 6

Remplacer les mots :

Des critères déterminant

par le mot :

De

Objet

La proposition de loi prévoit d'introduire dans l'article 32 I de la loi « informatique et libertés » l'obligation de délivrer une information sur les « critères déterminant la durée de conservation des données à caractère personnel ».

L'intention est bonne puisqu'aucune information sur la durée de conservation des données n'est aujourd'hui prévue par la loi. Pour autant, cette modification ne permettrait pas à la personne concernée de connaître précisément, notamment de façon quantifiée, la période de conservation des données par le responsable de traitement.

Or, la proposition de loi prévoyait dans sa rédaction initiale, que les personnes soient informées de la durée de conservation des données collectées.

Afin d'atteindre l'objectif d'une réelle amélioration de l'information délivrée aux personnes concernées par un traitement de données, le retour à cette rédaction est nécessaire.

 

 

 






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 24

22 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

MM. TÜRK et AMOUDRY


ARTICLE 6


Alinéa 11

Rédiger ainsi cet alinéa :

8° S'il dispose d'un service de communication au public en ligne, des modalités d'exercice de ces droits par voie électronique ;

Objet

La proposition de loi prévoit que le responsable de traitement informe la personne concernée « le cas échéant, des modalités d'exercice de ces droits par voie électronique après identification ».

En introduisant les mots « le cas échéant », le législateur pose une limite à la faculté qu'il reconnaît aux personnes d'exercer en ligne leurs droits, en la laissant à l'appréciation du responsable du traitement, ce qui n'est pas le cas aujourd'hui.

De plus, la rédaction actuelle de la proposition de loi s'articulerait difficilement avec le I bis nouveau de l'article 32 de notre loi. En effet, cet alinéa nouveau crée une obligation de délivrer l'information prévue à l'article 32 de la loi du 6 janvier 1978 modifiée à partir des services de communication en ligne que le responsable de traitement met à la disposition du public, sans indiquer dans ce cas que cette information est délivrée « le cas échéant » par ce moyen.

S'agissant par ailleurs de l'obligation de s'identifier dans le cadre de l'exercice de ses droits en ligne, cette mesure pourrait en pratique constituer un frein à l'exercice du droit de suppression. En effet, actuellement, un internaute ne souhaitant pas recevoir une newsletter ou une prospection peut, sans s'identifier, cliquer sur un lien pour demander son désabonnement.

Cette nouvelle rédaction, qui se veut plus favorable en permettant l'exercice des droits en ligne, pourrait ainsi compliquer les possibilités de s'opposer à recevoir des courriers électroniques non désirés. Une telle mesure serait alors contraire à l'objectif recherché de simplification de l'exercice des droits des personnes.

En tout état de cause, l'obligation de s'identifier est d'ores et déjà présente dans les articles 39 (droit d'accès) et 40 (droit de rectification) de la loi « informatique et libertés ».

Pour toutes ces raisons, le présent amendement propose la modification du onzième alinéa de l'article 6.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 7

17 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Sagesse du Sénat
Adopté

M. HÉRISSON


ARTICLE 6


Alinéa 25

Remplacer les mots :

avant la première

par les mots :

au plus tard lors de la première

Objet

Cet amendement est un amendement de cohérence afin de mettre l’alinéa 25 en conformité avec l’alinéa 2, déjà modifié par la commission des lois en ce sens.

Il s’agit de revenir à la rédaction initiale de l’article 32-III de la loi du 6 janvier 1978.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 36

23 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 7


Supprimer cet article.

Objet

L'article 7 modifie l'article 34 de la loi du 6 janvier 1978 qui est relatif aux mesures de sécurité que doit prendre le responsable de traitement afin de protéger les données à caractère personnel.

Il transpose, en partie, l'article 4 de la directive 2002/58/CE (dite directive "vie privée et communications électroniques") tel que modifié tout récemment par l'article 2 de la directive 2009/136/CE du 25 novembre 2009. Or, la transposition envisagée par les auteurs de la proposition de loi est incomplète et nécessiterait un approfondissement de la réflexion.

Elle est incomplète parce qu'elle ne transpose pas les dispositions de l'article 4 de la directive modifiée qui sont relatives aux sanctions susceptibles d'être prononcées contre le responsable de traitement qui n'a pas informé les personnes concernées de l'existence d'une faille de sécurité (§4, 1er alinéa).

Elle nécessite également une réflexion sur la détermination de l'autorité administrative la plus appropriée pour contrôler les questions touchant aux failles de sécurité des systèmes. Il n'est pas certain que la CNIL dispose des moyens techniques et des compétences professionnelles pour assumer un tel rôle. D'autres autorités, telles que l'ARCEP ou le SGDN, sont susceptibles d'être concernées. Cette question est en train d'être expertisée par le Gouvernement.

La transposition de la directive 2009/136/CE, dont la date limite est fixée au 25 mai 2011, est en cours de préparation. Une prise en compte globale et cohérente des problématiques abordées par le texte européen est préférable à une transposition morcelée. De surcroît, la modification de l'article 34 de la loi n° 78-17 du 6 janvier 1978 par la présente proposition de loi, n'écarte pas la possibilité qu'il soit à nouveau modifié à court terme. Or, les modifications successives sont un exemple significatif d'instabilité juridique.

C'est pourquoi le Gouvernement estime que l'article 7 de la proposition de loi est prématuré.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 22 rect.

23 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

MM. TÜRK et AMOUDRY


ARTICLE 7


Alinéa 3, deuxième phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

« Le responsable du traitement, avec le concours du correspondant « informatique et libertés », prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l'intégrité et de la confidentialité des données. Le correspondant « informatique et libertés » en informe la Commission nationale de l'informatique et des libertés. »

Objet

L'article 7 de la proposition de loi crée une obligation de notification des failles de sécurité. Il opère une distinction selon que la faille de sécurité concerne un organisme doté ou non d'un Correspondant Informatique et Libertés (CIL).

Ainsi, si un CIL a été désigné, il devra être averti sans délai par le responsable de traitement de la violation de traitement de données à caractère personnel. Le CIL devra prendre les mesures nécessaires pour rétablir la situation et ensuite en informer la CNIL. Le CIL devra également tenir un inventaire des atteintes aux traitements de données à caractère personnel.

En revanche, si aucun CIL n'a été désigné, c'est la CNIL que le responsable de traitement devra avertir sans délai.

Si, dans ces circonstances, il est souhaitable que le CIL soit effectivement informé des failles de sécurité survenant dans l'organisme par lequel il a été désigné et qu'il en conserve l'historique, il apparaît en revanche excessif de lui confier la responsabilité de prendre les mesures nécessaires pour permettre le rétablissement de la sécurité des données. En effet, cette tâche incombe au premier chef au responsable de traitement et doit rester de sa compétence. Il est proposé de modifier cette disposition en ce sens.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 40

23 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

M. COINTAT

au nom de la commission des lois


ARTICLE 7


I. - Alinéa 3, troisième phrase

Compléter cette phrase par les mots :

, sauf si ce traitement a été autorisé en application de l'article 26

II. - En conséquence, alinéa 4

Supprimer cet alinéa.

Objet

Cet amendement vient corriger une erreur de référence : la dérogation aux obligations fixées par le présent article, dérogation qui vise les fichiers de l'article 26 (fichiers de police), ne doit concerner que l'obligation d'information des personnes concernées, et non l'ensemble des obligations créées par le présent article.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 23

22 mars 2010


 

AMENDEMENT

présenté par

C Demande de retrait
G  
Retiré

MM. TÜRK et AMOUDRY


ARTICLE ADDITIONNEL APRÈS ARTICLE 7


Après l'article 7, insérer un article additionnel ainsi rédigé :

A l'article 226-17 du code pénal, les mots : « à l'article » sont remplacés par les mots : « au premier alinéa de l'article ».

 

Objet

L'article 7 de la proposition de loi propose une nouvelle rédaction de l'article 34 de la loi « informatique et libertés » afin d'introduire dans notre droit l'obligation de notification des failles de sécurité. Cette nouvelle obligation est souhaitable car elle améliorera le niveau de sécurité des systèmes d'information tout en anticipant la transposition dans notre droit d'une nouvelle directive européenne modifiant le « paquet télécom ».

Cette nouvelle obligation soulève toutefois une difficulté juridique puisque notre code pénal (article 226-17) punit d'une peine de 5 ans d'emprisonnement et de 300 000 euros d'amende le fait de mettre en œuvre un fichier en méconnaissance des obligations de sécurité prévues à l'article 34 de la loi « informatique et libertés ».

Dès lors, la conjonction de l'introduction de cette nouvelle obligation de notification des failles de sécurité avec ces dispositions pénales inchangées pourrait conduire les responsables des traitements concernés à devoir s'accuser d'être auteurs de la commission d'un délit, ce qui n'est pas envisageable. En effet, le texte de l'article 34 prévoit que, en l'absence d'un correspondant « informatique et libertés », c'est à la CNIL que le responsable de traitement doit notifier la faille de sécurité. Or, les agents de la CNIL, comme tous les agents publics, doivent dénoncer au Procureur de la République toutes les infractions dont ils ont connaissance dans le cadre de l'exercice de leur fonction (article 40 du code de procédure pénale). Ce mécanisme conduirait donc bien les personnes à s'auto-dénoncer au risque d'être ensuite poursuivies.

C'est pourquoi le présent amendement propose que le délit de défaut de sécurité prévu à l'article 226-17 du code pénal ne soit pas applicable à la notification des failles de sécurité, ce qui renforcera d'ailleurs l'incitation des responsables à effectuer cette notification.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 37

23 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 8


Supprimer cet article.

Objet

L'article 8 a pour objet de modifier les articles 38 et 40 de la loi du 6 janvier 1978 modifiée.

En vertu de l'article 38 susvisé, toute personne, dont les données à caractère personnel font l'objet d'un traitement, a le droit de s'y opposer lorsqu'elle justifie l'existence de motifs légitimes. Ce droit est néanmoins neutralisé lorsque le traitement répond à une disposition légale ou lorsque le droit a été écarté par une disposition expresse de l'acte autorisant le traitement. Elle peut également s'opposer à ce que ses données soient utilisées à des fins de prospection commerciale, téléphoniques, politique...

Paradoxalement et contrairement aux intentions affichées par la commission des lois, l'alinéa 2 de l'article 8 réduit substantiellement le champ du droit d'opposition préalable à la collecte des données, en le limitant aux seuls cas de prospection commerciale.

Par ailleurs, les cas dans lesquels le droit de suppression peut être neutralisé sont définis de manière trop large. Ainsi, avec le critère des données nécessaires à la finalité du traitement, ne pourraient plus être supprimées les données relatives à des clients potentiels figurant dans des fichiers de prospection commerciale, en dépit du souhait légitime des personnes concernées de ne plus y figurer. De même, en interdisant à toute personne d'exercer son droit lorsqu'une liberté publique garantie par la loi, telle que la liberté d'information, est atteinte, les personnes ne pourraient plus solliciter auprès des organes de la presse la rectification de l'utilisation erronée de leurs données à caractère personnel (données médicales, religieuses, politiques...). De surcroît, la notion de « données constituant un fait historique » pourrait priver les internautes ayant laissé, sur des sites de réseaux sociaux, des informations sur leur vie personnelle, de leur droit à l'oubli. Enfin, la référence au traitement « nécessaire pour la sauvegarde, la constatation, l'exercice ou la défense d'un droit » est rédigée de manière tellement large qu'elle risque, à elle seule, de rendre l'exercice du droit de suppression purement résiduel.

Ces nouvelles dispositions sont contraires à l'esprit de la loi du 6 janvier 1978 modifiée. Elles constituent un recul de la protection de la vie privée. Il convient donc de les supprimer.






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 21

22 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Retiré

MM. TÜRK et AMOUDRY


ARTICLE 8


 

Alinéas 1 à 10

Supprimer ces alinéas.

Objet

Si la nouvelle rédaction des articles 32 I (article 6) et 38 (article 8) de la loi « informatique et libertés » permet aux personnes d'exprimer, dès la collecte de leurs données, leur consentement, il s'agit toutefois d'une modification en profondeur de l'économie de la loi « informatique et libertés ».

La nouvelle rédaction des articles 38 et 32 de la loi conduit en effet à la suppression du droit d'opposition préalable en dehors des cas de « prospection commerciale » pour lui substituer, d'une part, un consentement lors de la collecte des données (sauf dans les cas visés à l'article 7) et, d'autre part, un droit de suppression a posteriori sous certaines conditions.

Or le consentement comme condition de licéité de traitement n'a jamais constitué une réelle garantie pour la protection des personnes, en particulier en raison du grand nombre d'exceptions prévues par l'article 7 de la loi, et notamment celle relative à « la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire ». La modification substantielle de la liste des exceptions prévues à l'article 7 de la loi « informatique et libertés » n'est pas envisagée dans la proposition de loi.

En outre, la proposition de loi institue un nouveau droit de suppression, par définition a posteriori, dans les limites exposées par l'article 38 auxquelles sont ajoutées quatre nouvelles limitations.

De telles limitations sont de nature à rendre résiduel l'exercice de ce droit, et sont contraires à l'objectif poursuivi par les rédacteurs de la proposition de loi.

Ces modifications auraient pour conséquence un affaiblissement des droits des personnes qui pose notamment une difficulté sérieuse au regard de la directive communautaire n°95/46/CE du 24 octobre 1995.

Cet amendement a donc pour objet le maintien de la rédaction actuelle de l'article 38 de la loi « informatique et libertés ».






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 46

23 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

M. COINTAT

au nom de la commission des lois


ARTICLE 8


Alinéa 2

Supprimer le mot :

commerciale

Objet






Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 12 rect.

22 mars 2010


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

M. DÉTRAIGNE et Mme ESCOFFIER


ARTICLE 9 BIS


Alinéa 3

Rédiger ainsi cet alinéa :

II. - Le responsable des lieux est informé de son droit d'opposition à la visite. Lorsqu'il exerce ce droit, la visite ne peut se dérouler qu'après l'autorisation du juge des libertés et de la détention. Celui-ci statue dans des conditions fixées par décret en Conseil d'Etat. Toutefois, par dérogation aux dispositions de l'alinéa précédent, lorsque l'urgence, la gravité des faits justifiant le contrôle ou le risque de destruction ou de dissimulation de documents l'exigent, la visite est préalablement autorisée par le juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter.

Objet

La commission a adopté, à l'initiative du Gouvernement, un article 9 bis afin de donner à la CNIL la possibilité de demander au juge des libertés et de la détention l'autorisation préalable d'effectuer une visite inopinée "lorsque l'urgence, la gravité des faits justifiant le contrôle ou le risque de destruction ou de dissimulation de documents l'exigent".

Si on ne peut que se féliciter d'un tel dispositif de nature à renforcer l'efficacité des actions de contrôle de la CNIL, la rédaction mérite toutefois d'être doublement précisée.

D'une part, il paraît plus logique d'un point de vue juridique de fixer le principe (possibilité de s'opposer à un contrôle) avant l'exception (possibilité de demander au juge l'autorisation préalable d'effectuer un contrôle sans possibilité pour le requérant de s'opposer au principe de cette visite).

D'autre part, il paraît opportun de préciser que le responsable de traitement, dans le premier cas de figure, doit être informé de son droit à s'opposer à un contrôle qui ne peut alors se dérouler qu'avec l'autorisation du juge. Cette information permettrait de rendre le dispositif proposé en parfaite conformité avec la récente jurisprudence du Conseil d'Etat, qui a considéré, sur le fondement de l'article 8 de la Convention européenne des droits de l'homme relatif à l'inviolabilité du domicile, que les responsables des locaux dans lesquels se déroule un contrôle de la CNIL doivent même être "informés de leur droit à s'opposer à ces visites" (arrêt du 6 novembre 2009 du Conseil d'Etat, Société Inter Confort, req. N° 304300).

Tel est l'objet de cet amendement.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 16

22 mars 2010


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Tombé

Mme BOUMEDIENE-THIERY, M. Charles GAUTIER

et les membres du Groupe socialiste, apparentés et rattachés


ARTICLE 9 BIS


Alinéa 3, deuxième phrase

Remplacer cette phrase par deux phrases ainsi rédigées :

Dans les autres cas, le responsable des lieux peut, après avoir été préalablement informé de cette possibilité, s'opposer à la visite. Elle ne peut alors se dérouler qu'avec l'autorisation du juge des libertés et de la détention.

Objet

Dans une décision du 6 novembre 2009, le Conseil d'État a annulé deux sanctions prises par la CNIL sur la base de constats opérés de manière irrégulière. Cette décision fixe par conséquent les critères - alternatifs - de validité d'une visite effectuée par la CNIL, en l'absence de consentement du responsable des lieux :

- soit la visite a été autorisée a priori par un juge ;

- soit la personne responsable des lieux a été informée de la possibilité de s'opposer à la visite, auquel cas le président de la CNIL doit saisir le président du tribunal de grande instance compétent afin que celui-ci autorise, par ordonnance, la mission de contrôle conformément à la procédure mentionnée à l'article 44 de la loi n° 78-17 du 6 janvier 1978.

La première situation a été consacrée par le texte de la Commission des lois, en créant la possibilité, en cas d'urgence.

Il est proposé par cet amendement de satisfaire à la seconde exigence mentionnée dans la décision du Conseil d'État en prescrivant le droit du responsable des lieux de se voir informer de la possibilité de s'opposer à une visite, exigence actuellement absente de l'article 44, alors même que le droit d'opposition est, lui, mentionné au II de l'article 44 de la loi n° 78-17 du 6 janvier 1978 et est maintenu dans le texte issu des travaux de la Commission des lois.

Il est en effet incohérent que le droit d'opposition à une visite, inscrit dans la loi, ne soit pas exercé, en pratique, en raison d'une absence de notification de ce droit.


NB : La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 38

23 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 13


Supprimer cet article.

Objet

Le Gouvernement partage naturellement le souci exprimé par les auteurs de la proposition de loi que les juges français puissent être saisis et faire application de la loi Informatique et Libertés lorsqu'un litige oppose une personne résidant en France et à un opérateur basé à l'étranger. Pour autant, la disposition proposée à cet égard n'apparaît pas utile.

- S'agissant de la juridiction compétente en matière de litiges civils nés de l'application de la loi CNIL, les dispositions de la section 2 sont de niveau réglementaire, s'agissant d'une règle de procédure civile.

En outre, elles seront sans incidence sur les litiges présentant une dimension internationale. En effet, dans ce cas, la détermination de la compétence des tribunaux français doit d'abord être examinée à la lumière des dispositions du règlement CE 44/2001 dit "Bruxelles I" dès lors que le litige relève de la matière civile et commerciale.

Le règlement s'applique dès lors que le défendeur est domicilié sur le territoire d'un État membre de l'Union européenne. En vertu de son article 5, une personne domiciliée sur le territoire d'un État membre peut être attraite dans un autre État membre en matière délictuelle ou quasi délictuelle, devant le tribunal du lieu où le fait dommageable s'est produit ou risque de se produire, ce qui peut avoir son importance dans les actions visant la filiale irlandaise de Google Inc. qui est chargée de la commercialisation du service AdWords en Europe.

Dans l'hypothèse où le défendeur n'est pas domicilié dans un État membre, l'article 4 du règlement rappelle que la compétence des tribunaux doit alors être déterminée conformément au droit national. Le demandeur peut, en vertu des articles 42 et 46 du CPC, saisir le tribunal du domicile du défendeur si celui-ci est domicilié en France ou, à défaut, les tribunaux français si le préjudice a été subi en France ou la prestation de service fournie en France. Lorsque ces mêmes règles ne permettent pas de fonder la compétence des juridictions françaises, le demandeur a toujours la possibilité, à titre subsidiaire, de demander au tribunal saisi de fonder sa compétence sur l'article 14 du code civil en vertu duquel tout Français peut attraire devant les tribunaux français un défendeur étranger. 

Ainsi, les dispositions apparaissent inutiles.

S'agissant des observations de la CNIL devant les juridictions civiles, pénales ou administratives, la section 3 tend à conférer à la CNIL le pouvoir de présenter des observations devant toutes les juridictions administratives, pénales et civiles, sur le modèle de la HALDE.

 Cette transposition n'apparaît pas pertinente : chaque autorité administrative indépendante poursuit une mission spécifique, auquel correspond un statut spécifique. Dans le cas de la HALDE, il s'agit de permettre à cette autorité d'intervenir volontairement, devant les juridictions pénales, afin d'apporter des preuves supplémentaires à l'appui de la demande d'une victime de discrimination ; mais elle n'intervient pas en tant qu'expert dans un domaine marqué par une technicité particulière, comme le fait à l'inverse la CNIL lorsqu'elle est invitée par une juridiction à présenter des observations.

Surtout, ce renforcement des pouvoirs de la CNIL n'est ni justifié ni nécessaire.

En effet, les juridictions peuvent d'ores et déjà, lorsqu'elles estiment qu'il leur faut être éclairées par l'expertise particulière de la CNIL, l'inviter à présenter ses observations dans l'instance, éventuellement à la suite d'une demande des parties ; elles ne manquent d'ailleurs pas de le faire. mais il est important, pour la bonne marche de la justice, que les juridictions gardent la maîtrise de l'organisation du débat contradictoire. En ce sens, la faculté, permettant à un tiers au procès d'intervenir en faisant valoir ses observations, doit rester tout à fait exceptionnelle. A défaut, le risque d'une instrumentalisation des procès serait préjudiciable à la sérénité des débats.

Pour l'ensemble de ces raisons, le Gouvernement vous invite à supprimer cet article.