Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 6 rect. septies

20 mars 2018
 

AMENDEMENT

présenté par
C Avis du Gouvernement
G Défavorable
Rejeté

Mme BRUGUIÈRE, M. BANSARD, Mme GOY-CHAVENT, M. Alain MARC, Mme DEROMEDI, MM. Daniel LAURENT, HENNO et SOL, Mmes GARRIAUD-MAYLAM et RENAUD-GARABEDIAN, MM. PONIATOWSKI, de NICOLAY, BONHOMME, MILON et Bernard FOURNIER, Mmes LAMURE, BILLON et BONFANTI-DOSSAT, M. BONNE, Mme BORIES, MM. BRISSON, LEFÈVRE et GUERRIAU, Mmes MORHET-RICHAUD, EUSTACHE-BRINIO et MÉLOT, MM. LAGOURGUE et BOUCHET, Mme LANFRANCHI DORGAL et MM. GREMILLET et PANUNZI

ARTICLE 7

I. – Après l’alinéa 4

Insérer un alinéa ainsi rédigé :

…) Le 4° est complété par les mots : « , dès lors que ces données révèlent à elles-seules les informations mentionnées au I » ;

II. – Alinéa 12

Compléter cet alinéa par les mots :

et dont le traitement poursuit l’une des finalités visées aux b, g et j du paragraphe 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

Objet

L’objectif de cet amendement est d’une part, d’apporter les précisions manquantes au RGPD et, d’autre part, de corriger certaines contradictions entre le projet de loi et le règlement.

1° L’article 9 du RGPD manque de précision en n’interdisant pas explicitement les traitements qui, recoupant des données non-sensibles que la personne concernée a publiées, visent à reconstituer des données sensibles qui, elles, n’ont jamais été publiées par la personne.

2° L’article 9 du RGPD n’autorise le traitement de données sensibles que pour certaines finalités dont il fait la liste exhaustive. Or, l’article 8, III, de la loi de 1978 (tel que modifié par le projet de loi) autoriserait les traitements de données sensibles poursuivant n’importe quelle finalité, pour la simple raison qu’une mesure technique serait appliquée : l’anonymisation à bref délai. Ceci n’est pas autorisé par le RGPD : cette autorisation doit être limitée à des finalités précises. Cette contradiction doit par conséquent être supprimée.

Pour autant, cette mesure d’anonymisation à bref délai n’est pas sans intérêt. En effet, l’article 9 du RGPD prévoit que, s’agissant de certaines finalités, le traitement de données sensibles n’est licite qu’en présence de « mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ». Pour certaines de ces finalités, la loi de 1978 prévoit effectivement des garanties qui pourraient correspondre à ces « mesures appropriées ». Néanmoins, s’agissant d’autres finalités (celles visées au b), g) et j) du 2 de l’article 9 du règlement), la loi n’en prévoit aucune. Ainsi, dans ce cas précis, la mesure d’anonymisation à bref délai pourrait être une des « mesures appropriées » autorisant la poursuite de ces finalités.



NB :La présente rectification porte sur la liste des signataires.