Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 13 rect. septies

20 mars 2018
 

AMENDEMENT

présenté par
C Demande de retrait
G Défavorable
Retiré

Mme BRUGUIÈRE, MM. SOL, HENNO et Daniel LAURENT, Mme DEROMEDI, M. Alain MARC, Mme GOY-CHAVENT, M. BANSARD, Mme GARRIAUD-MAYLAM, M. PONIATOWSKI, Mme RENAUD-GARABEDIAN, MM. de NICOLAY, BONHOMME et MILON, Mmes BILLON et BONFANTI-DOSSAT, M. BONNE, Mme BORIES, M. BRISSON, Mme EUSTACHE-BRINIO, MM. Bernard FOURNIER, GUERRIAU, LAGOURGUE et LEFÈVRE, Mme MÉLOT, M. BOUCHET, Mme LANFRANCHI DORGAL et MM. GREMILLET et PANUNZI

ARTICLE 8

I. – Alinéa 2

Remplacer les mots :

la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France

par les mots :

le traitement est effectué :

II. – Alinéa 3

Remplacer cet alinéa par cinq alinéas ainsi rédigés :

« 1° Dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que ce traitement ait lieu ou non en France ;

« 2° Ou par un responsable du traitement qui n’est pas établi sur le territoire français mais dans un lieu où le droit français s’applique en vertu du droit international public ;

« 3° Ou par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union Européenne, dans la mesure où ce traitement est appliqué à des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire français, lorsque ce traitement est lié :

« a) À l’offre de biens ou de services à ces personnes concernées en France, qu’un paiement soit exigé ou non desdites personnes ;

« b) Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu sur le territoire français. »

Objet

L’amendement vise à adapter le critère du champ d’application territorial de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, lorsque celle-ci sera appliquée de façon complémentaire au nouveau règlement européen, dans le but de le rapprocher tout à la fois du critère d’application du règlement européen lui-même, et du critère d’application de la même loi n°78-17 lorsqu’elle est appliquée seule, indépendamment du règlement.

 Il résulte en effet de l’article 8 du projet de loi en sa rédaction actuelle un degré de complexité incompatible avec les exigences de lisibilité et de bonne application de la loi, exigences d’autant plus impérieuses lorsque celle-ci vise à protéger les droits et libertés des personnes physiques.

 L’article 8 prévoit, dans la version du projet de loi adoptée par l’Assemblée Nationale, un champ d’application de la loi n°78-17 centré sur la résidence de la personne dont les données sont traitées, dans les cas où cette loi vient préciser les dispositions du règlement en application des marges de manœuvre laissées aux Etats membres de l’Union Européenne par ce dernier. Or, le règlement européen, et la loi n°78-17 elle-même lorsqu’elle est appliquée seule, se réfèrent systématiquement en principe au critère d’établissement, non pas de la personne concernée, mais du responsable du traitement. Par exception, dans certains cas limités, le règlement européen sera par ailleurs applicable lorsque ce responsable de traitement sera établi hors de l’Union Européenne, sous réserve que la personne concernée soit localisée en France, la notion de localisation se distinguant de celle de résidence.

 Cet éclatement des critères risque d’entraîner une confusion importante dans l’application territoriale de la loi n°78-17, notamment de la part des entreprises et organismes publics responsables de traitements, qui ne seront pas en mesure d’identifier facilement les règles de droit qui leur sont applicables. Par ailleurs, le choix d’un critère de résidence de la personne concernée a pour effet d’imposer systématiquement la collecte de l’adresse de cette personne, même dans les cas où cette donnée n’est pas nécessaire pour la finalité poursuivie par le traitement, en contrariété avec le principe de minimisation de la collecte imposé par le règlement européen. Cela risque de faire peser une charge trop importante sur les responsables de traitement et sous-traitants de données à caractère personnel mais également de porter une atteinte injustifiée à la vie privée des personnes concernées. Enfin, un autre risque est de voir émerger des situations de conflits de lois inextricables entre le droit français et celui d’un autre Etat membre qui aurait choisi de retenir un autre critère pour l’application de sa loi nationale en complément du règlement européen. Ce risque de conflits de lois a été expressément souligné par la Commission Nationale de l’Informatique et des Libertés dans son avis sur le projet de loi en date du 30 novembre 2017.

 Il est par conséquent proposé d’aligner le champ d’application territorial de la loi n°78-17, lorsqu’elle sera appliquée en complément du règlement européen, sur des critères analogues à ceux prévus par ce dernier. Cette réécriture aura également pour effet d’uniformiser le champ d’application territorial de la loi n°78-17 selon qu’elle est appliquée seule ou en complément du règlement, renforçant ainsi la lisibilité du texte.



NB :La présente rectification porte sur la liste des signataires.