Proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique

Rapports législatifs

Rapport n° 330 (2009-2010), déposé le 24 février 2010

Les informations clés

Nature

Rapport - Première lecture

TITRE II - DISPOSITIONS PORTANT MODIFICATION DE LA LOI N° 78-17 DU 6 JANVIER 1978 RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS

Article 2 (art. 2 de la loi « informatique et libertés ») - Qualification juridique de l'adresse IP

Cet article tend à qualifier explicitement l'adresse IP de donnée à caractère personnel.

A l'heure actuelle, l'article 2 de la loi « informatique et libertés » du 6 janvier 1978 qualifie de donnée à caractère personnel « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ».

Notion ambigüe et concept instable ^{11

(

*
)} , l'adresse IP est aujourd'hui au coeur de la lutte contre le piratage, le téléchargement illicite et la lutte contre la contrefaçon. Néanmoins, son statut juridique fait l'objet de controverses qui ne peuvent que susciter un risque d'insécurité juridique.

Qu'est-ce qu'une adresse IP ?

Sur Internet, les ordinateurs communiquent entre eux grâce au Protocole IP ( Internet Protocol ), qui utilise des adresses numériques , appelées adresses IP. Ces adresses sont composées de quatre nombres entiers compris chacun entre 0 et 255 et notées sous la forme xxx.xxx.xxx.xxx. Chaque ordinateur relié à un réseau dispose d'une adresse IP unique, ce qui lui permet de communiquer avec les autres ordinateurs du même réseau. De même, chaque site Internet dispose d'une adresse IP, qui peut être convertie en nom de domaine. L'attribution des adresses IP publiques relève de l'ICANN ( Internet Corporation for Assigned Names and Numbers ).

Concrètement, chaque transmission de données sur le web donne lieu à l'envoi d'un « paquet de données » comprenant, quel que soit le type de communication (navigation sur le web, messagerie, téléphonie par Internet, etc.) l'adresse IP de l'expéditeur ainsi que celle du destinataire. Ainsi, lorsqu'un internaute consulte un site Internet, le serveur de ce dernier enregistre dans un fichier la date, l'heure et l'adresse IP de l'ordinateur à partir duquel la consultation a été effectuée, ainsi que les fichiers qui ont pu être envoyés. Le propriétaire du site a ainsi accès aux adresses IP des ordinateurs qui se sont connectés à son site. Dans le cas particulier des logiciels de « peer-to-peer » (logiciels permettant le partage de fichiers entre internautes), des tiers peuvent également récupérer assez facilement les adresses IP des internautes se livrant à la mise en ligne de fichiers piratés.

Source : « La vie privée à l'heure des mémoires numériques », rapport d'information n° 441 (2008-2009), Anne-Marie Escoffier et Yves Détraigne, 27 mai 2009

Comme le rappelle le rapport d'information de nos collègues Anne-Marie Escoffier et Yves Détraigne, et comme l'ont souligné un certain nombre de personnes entendues par votre rapporteur, l'adresse IP ne permet pas, la plupart du temps, d'identifier directement l'internaute . En effet, à la différence des entreprises ou des grandes institutions (telles que les universités), qui disposent en général d'une adresse IP fixe, les particuliers se voient attribuer la plupart du temps, par leur fournisseur d'accès, une adresse IP différente à chaque connexion. Dans ce cas, seul le fournisseur d'accès est capable de relier une adresse IP à une personne physique, à condition de disposer également de l'heure et de la date de connexion (et sous réserve que l'adresse IP n'ait pas fait l'objet d'une usurpation de la part d'internautes malveillants).

Ces arguments ont conduit la treizième chambre de la cour d'appel de Paris à estimer que l'adresse IP ne pouvait pas être considérée comme une donnée personnelle :

- dans un arrêt en date du 15 mai 2007, les juges ont considéré que « cette série de chiffres [ne constituait] en rien une donnée indirectement nominative à la personne dans la mesure où elle ne se rapporte qu'à une machine , et non à l'individu qui utilise l'ordinateur pour se livrer à la contrefaçon » ;

- puis, dans un arrêt daté du 27 avril 2007, la cour a estimé que « l'adresse IP ne [permettait] pas d'identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur d'accès l'identité de l'utilisateur ».

Ces décisions ont suscité la réaction du G29 ^{12

(

*
)} , qui, dans un avis du 20 juin 2007 , a rappelé que l'adresse IP attribuée à un internaute lors de ses communications devait être regardée comme une donnée à caractère personnel.

Cette position a été partagée par un certain nombre de juridictions françaises.

Ainsi, dans un arrêt daté du 6 septembre 2007 ( Ministère public, SCPP, SACEM c/ J.-P. ), le tribunal de grande instance de Saint-Brieuc a expressément qualifié l'adresse IP de donnée à caractère personnel, après avoir relevé qu' « un numéro IP associé à un fournisseur d'accès correspond nécessairement à la connexion d'un ordinateur pour lequel une personne déterminée a souscrit un abonnement auprès de ce fournisseur d'accès. L'adresse W de la connexion associée au fournisseur d'accès constitue un ensemble de moyens permettant de connaître le nom de l'utilisateur ».

Le tribunal de grande instance de Bobigny a également, dans un arrêt Laurent F. c/ SACEM daté du 14 décembre 2006, considéré que « l'adresse IP [constituait] une donnée à caractère personnel en ce qu'elle permet d'identifier une personne en indiquant sans doute possible un ordinateur précis. Le numéro IP établit la correspondance entre l'identifiant attribué lors de la connexion à l'internaute et l'identité de l'abonné » ^{13

(

*
)} .

Cette solution a été confirmée à l'occasion de la révision de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques : la directive 2006/24/CE ^{14

(

*
)} dispose désormais dans son article 2 que les données à caractère personnel incluent les données relatives au trafic et les données de localisation ainsi que les données connexes nécessaires pour identifier l'abonné ou l'utilisateur, ce qui inclut donc l'adresse IP.

En France, néanmoins, la question demeure confuse . Dans une décision rendue le 13 janvier 2009, la Chambre criminelle de la Cour de cassation a considéré que, lorsque la collecte des adresses IP s'effectue « à la main », et non au moyen d'un traitement informatique automatisé, l'autorisation de la CNIL n'est pas requise. Ce faisant, la Chambre criminelle n'a pas tranché le débat relatif au statut de l'adresse IP, ce qui semble particulièrement regrettable au regard du flou juridique qui subsiste sur cette question.

L'article 2 de la proposition de loi tend à mettre un terme à ces divergences de jurisprudence en incluant expressément l'adresse IP, qui serait définie comme « toute adresse ou tout numéro identifiant l'équipement terminal de connexion à un réseau de communication », dans le champ des données à caractère personnel.

Votre commission approuve cette démarche qui permettra d'appliquer sans ambiguïté les garanties concernant la collecte de données à caractère personnel aux données de connexion des internautes.

Votre commission précise néanmoins que qualifier expressément l'adresse IP de donnée à caractère personnel ne revient pas à affirmer que celle-ci permet, à elle seule, d'identifier une personne physique. Il s'agit en revanche de préciser qu'elle constitue l' un des éléments permettant d'identifier un internaute . En cela, l'adresse IP répond aux critères posés par l'article 2 de la loi du 6 janvier 1978, qui définit la notion de donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée ». L'article 2 de la proposition de loi permettra ainsi de faire figurer l'adresse IP dans le « faisceau d'indices permettant d'identifier l'internaute » ^{15

(

*
)} .

Néanmoins, sur proposition de son rapporteur, votre commission a souhaité modifier la rédaction de l'article 2 de la proposition de loi. En effet, son attention a été attirée sur le fait que la rédaction retenue visait l'adresse MAC de l'ordinateur ^{16

(

*
)} , et non l'adresse IP attribuée par le fournisseur d'accès. Elle a donc souhaité que soit visé « tout numéro identifiant le titulaire d'un accès à des services de communication au public en ligne » . En outre, afin d'éviter toute ambiguïté, votre commission, sur proposition de son rapporteur, a souhaité indiquer que l'adresse IP était incluse dans le champ des données à caractère personnel visées à l'article 2 de la loi du 6 janvier 1978.

Votre commission a adopté l'article 2 ainsi modifié .

Article 2 bis (nouveau) (art. 11 et 13 de la loi « informatique et libertés ») - Composition pluraliste de la CNIL

A l'initiative de votre rapporteur ainsi que de M. Charles Gautier et des membres du groupe socialiste apparentés et rattachés, votre commission a adopté un amendement de votre rapporteur tendant à insérer un article additionnel après l'article 2 afin d'assurer une représentation pluraliste lors de la désignation, par les présidents des assemblées parlementaires, des membres de ces assemblées appelés à siéger dans cette commission.

Cette mesure a été adoptée par l'Assemblée nationale à l'article 29 de la proposition de simplification et d'amélioration de la qualité du droit, telle que votée par les députés en première lecture ^{17

(

*
)} . Elle figurait déjà dans la proposition de loi n°1659 de Mme Delphine Batho et M. Jacques Alain Bénisti, adoptée à l'unanimité le 16 juin 2009 par la commission des lois de l'Assemblée nationale ^{18

(

*
)} .

Elle prévoit que les deux députés et les deux sénateurs membres de la CNIL sont désignés « de manière à assurer une représentation pluraliste ». Au regard de l'importance que revêt l'action de la CNIL dans le domaine de la protection des données à caractère personnel, il semble nécessaire que l'opposition y soit représentée . L'exigence de pluralisme s'appréciera au vu de l'ensemble des membres désignés au sein de la CNIL par les deux assemblées.

Votre commission a adopté l'article 2 bis ainsi rédigé.

Article 2 ter (nouveau) (art. 23 de la loi « informatique et libertés ») - Mise en oeuvre plus rapide des traitements soumis à déclaration préalable

Votre commission a adopté un amendement tendant à insérer un article 2 ter afin de faciliter la mise en oeuvre des traitements soumis à simple déclaration préalable auprès de la CNIL. En effet, dans sa rédaction actuelle, l'article 23 de la loi « informatique et libertés » subordonne la mise en oeuvre de tels traitements à la transmission par la CNIL d'un récépissé .

Or, ce récépissé retarde inutilement la mise en oeuvre du traitement.

En conséquence, l'amendement prévoit que « le demandeur peut mettre en oeuvre le traitement dès réception de la preuve de l'accomplissement de la formalité préalable ». A titre d'exemple, cette preuve peut prendre la forme d'un accusé de réception postal si la déclaration a été adressée à la CNIL par lettre recommandée.

Cet amendement ne fait bien évidemment pas obstacle à l'exercice par la CNIL de ses pouvoirs de contrôle a posteriori si celle-ci constate que le responsable d'un traitement relevant de la formalité déclarative ne satisfait pas aux obligations résultant des dispositions de la loi « informatique et libertés ».

Votre commission a adopté l'article 2 ter ainsi rédigé.

Article 3 (art. 31-1 nouveau de la loi « informatique et libertés ») - Renforcement du correspondant « informatique et libertés »

L'article 3 crée un article 31-1 dans la loi « informatique et libertés » afin de :

- rendre obligatoires les correspondants « informatique et libertés » (CIL) lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en oeuvre ;

- mieux définir le rôle du CIL ;

- conforter son statut ;

- créer symboliquement, dans la loi « informatique et libertés », un chapitre et un article spécifiques consacrés au CIL.

En premier lieu, cet article traduit la recommandation n° 7 du rapport d'information précité sur « la vie privée à l'heure des mémoires numériques », à une réserve près : en effet, alors que le rapport recommandait de rendre obligatoires les correspondants « informatique et libertés » dans les structures de plus de cinquante salariés, la proposition de loi fait le choix de ne les rendre obligatoires que dans les structures où cinquante personnes ont soit directement accès au traitement, soit sont chargées de sa mise en oeuvre . Il s'agit de ne pas imposer des correspondants dans des entreprises ou des administrations où travaillent certes plus de cinquante personnes mais où peu d'entre elles peuvent accéder aux bases de données personnelles ou les mettent en oeuvre. On peut ainsi songer à une entreprise dont la majeure partie des salariés occupe des tâches d'exécution peu qualifiées.

Les CIL sont nés de la volonté du législateur, lors de l'examen du projet de loi qui a abouti à la loi n° 2004-801 du 6 août 2004 ^{19

(
*
)} , de donner la possibilité aux entreprises et administrations publiques d'identifier, en leur sein, des relais de la Commission nationale de l'informatique et des libertés (CNIL), garants du respect de la loi « informatique et libertés ». Cette possibilité était ouverte par le point 2 de l'article 18 de la directive du 24 octobre 1995 ^{20

(

*
)} . En contrepartie, le législateur a décidé que les structures qui désigneraient un tel correspondant ne seraient plus tenues d'adresser leurs déclarations à la CNIL , le CIL étant chargé de recenser ces fichiers (article 22 de la loi « informatique et libertés »).

Ces correspondants se sont mis en place peu de temps après la publication du décret n° 2005-1309 du 20 octobre 2005, soit à partir de 2005-2006.

Comme le souligne le rapport d'information précité, le bilan de l'action de ces correspondants apparaît pleinement satisfaisant tant ils ont permis la diffusion de la culture « informatique et libertés » dans les structures dans lesquelles ils ont été désignés mais également, symétriquement, la diffusion de la culture « administration » ou « entreprises » au sein de la CNIL. De même, le rapport d'information indique que, lors de leur audition, les représentants de la chambre de commerce américaine à Paris ont salué le rôle joué, dans l'administration fédérale américaine, des Chief Privacy Officers (CPO), équivalents des correspondants aux pouvoirs plus étendus, et se sont réjouis du caractère obligatoire des correspondants en Allemagne, présentés comme des « facilitateurs » pour la bonne marche de l'entreprise. A cet égard, on peut noter que de nombreux autres pays européens ont rendu les correspondants obligatoires : citons en particulier la Suisse (il est obligatoire pour les organes fédéraux), la Hongrie (il est obligatoire pour certaines catégories d'acteurs tels que les institutions financières, les fournisseurs d'accès à Internet...) ou encore la Slovaquie (il est obligatoire pour toute entité de plus de cinq employés).

En France, les correspondants sont en augmentation constante : au 1 ^er janvier 2010, ils étaient 1466, regroupant quelque 5951 organismes, compte tenu des possibilités de mutualisation ( cf infra ). Ils sont toutefois faiblement implantés dans les collectivités territoriales et les ministères comme l'a souligné M. Alex Türk, président de la CNIL, lors de son audition par la commission des lois le 5 novembre 2008. Cette situation résulterait d'une certaine hostilité des autorités publiques à l'égard de personnes reconnues comme indépendantes dans l'exercice de leurs fonctions, indépendance qui s'accorderait mal avec le principe d'obéissance hiérarchique très ancré dans la fonction publique.

En second lieu, l'article 3 de la proposition de loi vise à préciser le rôle et les fonctions du CIL ; en effet, l'article 22 de la loi « informatique et libertés » ne définit que très succinctement sa mission : « le correspondant est chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi ». La proposition de loi complète ces dispositions en disposant que le CIL est également chargé d' « informer l'ensemble des personnes travaillant pour le compte de l'autorité ou de l'organisme de la nécessité de protéger les données à caractère personnel ».

En troisième lieu, l'article 3 de la proposition de loi conforte le statut du correspondant en subordonnant sa démission d'office à l'accord de la CNIL . Dans sa rédaction actuelle, l'article 22 de la loi « informatique et libertés » précise qu' « en cas de manquement à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation de la CNIL ». Le texte remplace la consultation par un avis conforme de la CNIL afin que cette dernière puisse juridiquement s'opposer à une démission qui ne serait mue par des motifs d'opportunité, par exemple dans le cas de salariés dont les positions - pourtant conformes à la loi « informatique et liberté » - « gênent » la direction ou le responsable de traitement de l'organisme privé ou de l'autorité publique. La CNIL pourra ainsi refuser une démission quand aucune faute ne peut être reprochée au CIL dans l'exercice de ses fonctions.

Enfin, la proposition de loi crée symboliquement, dans la loi « informatique et libertés », un chapitre et un article spécifiques dédiés au CIL. La loi de 1978 ne traite aujourd'hui de ce correspondant que de manière incidente, à l'article 22 consacré aux formalités préalables à la mise en oeuvre des traitements et aux possibilités d'exonération. En lui consacrant un chapitre et un article spécifiques, la proposition de loi entend conférer au CIL une visibilité dans la loi conforme à l'importance de sa mission.

Votre commission approuve largement l'ensemble de ces modifications. Elle considère en particulier que le principe d'indépendance n'est pas incompatible avec le statut de la fonction publique, comme l'illustre la présence, dans les ministères, de corps d'inspection et de contrôle ou de comptables.

Votre commission a toutefois adopté un amendement de réécriture des alinéas 4 à 7 afin d'apporter quelques aménagements ou précisions .

En premier lieu, votre rapporteur s'est longuement interrogé sur la pertinence du critère retenu par la proposition de loi pour déclencher l'obligation de désigner un CIL (cinquante personnes ayant un accès au traitement ou chargés de sa mise en oeuvre). S'il juge favorablement l'évolution par rapport à la préconisation du rapport d'information (cinquante personnes sans plus de précision), il note que la rédaction proposée par le texte ne prend en compte :

- ni les degrés d'intervention sur cette base : ainsi « l'accès » ou « la mise en oeuvre » n'impliquent pas nécessairement la possibilité d'extraire, de modifier ou de supprimer des noms ;

- ni l' importance numérique de cette base, c'est-à-dire le nombre de personnes concernées par le traitement : en effet, dix personnes peuvent avoir accès à une base comportant plusieurs millions de noms et, à l'inverse, des centaines de personnes peuvent avoir accès à une base très réduite ne comportant que quelques données : il est sans doute plus important, toutes choses égales par ailleurs, de créer un CIL dans le premier cas que dans le second ;

- ni la nature des données traitées : certaines données personnelles sont plus sensibles que d'autres (données médicales, religieuses, politiques...) et doivent donc être davantage protégées.

Votre commission a cherché à formaliser ces nuances sans aboutir pour autant à une rédaction extrêmement complexe d'application.

Elle a ainsi conservé le critère retenu par la proposition de loi mais en a ajouté un second, alternatif : le CIL serait obligatoire non seulement dans les conditions prévues par la proposition de loi ^{21

(

*
)} mais également lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel qui relève du régime d'autorisation en application des articles 25, 26 ou 27 de la loi « informatique et libertés ». Ce régime concerne les traitements sensibles qui ne peuvent être autorisés que par la CNIL (article 25) ou le Gouvernement (articles 26 et 27) après avis motivé et publié de la CNIL. Certes, il n'a pas échappé à votre rapporteur qu'une telle obligation n'aura pas de contrepartie pour les structures concernées : en effet, la présence obligatoire d'un CIL n'aura pas pour effet d'affranchir la structure publique ou privée d'obtenir l'autorisation susmentionnée. Toutefois, il paraît nécessaire que, eu égard à la nature des données traitées, ces structures soient toutes dotées d'un correspondant afin qu'elles intègrent de manière satisfaisante la culture « informatique et libertés ».

En second lieu, votre commission a apporté certaines clarifications au dispositif proposé.

D'une part, elle a précisé l'obligation de création d'un CIL dans certaines hypothèses ne remettait pas en cause la possibilité, pour toute structure , de mettre en place de tels correspondants et de bénéficier ainsi de la dispense des formalités déclaratives. A cet égard, votre rapporteur insiste sur le fait que le correspondant ne doit pas être perçu comme une charge ou une contrainte pour la structure, mais bel et bien comme une aide, une garantie et même un élément de valorisation vis-à-vis de ses clients ou usagers. D'autre part, votre commission a jugé fondées les craintes exprimées par certaines personnes entendues par votre rapporteur selon lesquelles la rédaction proposée par le texte pouvait laisser accroire que la mutualisation des CIL serait dorénavant exclue. Rappelons en effet que le décret précité du 20 octobre 2005 prévoit, en son article 44, des possibilités de mutualisation à une double condition :

- que plus de cinquante personnes soient chargées de la mise en oeuvre ou aient directement accès aux traitements ;

- que les structures aient entre elles un lien économique (par le biais de filiales, de groupements d'intérêt économique, d'organismes professionnels...).

En conséquence, votre commission a précisé que la désignation obligatoire du CIL pouvait intervenir dans un cadre mutualisé . Elle a également rendu possible la mutualisation lorsque la création du CIL n'est pas obligatoire.

En troisième lieu, votre commission a étendu le rôle du correspondant. D'une part, elle a indiqué que ce dernier est investi d'une mission d'information, ce que prévoit la proposition de loi, mais également de conseil auprès de l'ensemble des personnes travaillant pour le compte de l'autorité ou de l'organisme. D'autre part, elle a précisé l'obligation pour le correspondant de tenir une liste des traitements effectués, en indiquant qu'il devait régulièrement la mettre à jour compte tenu de la création de plus en plus fréquente de listes. Nous verrons plus loin que votre commission a également souhaité que le correspondant joue un rôle central en matière de failles de sécurité ( cf commentaire de l'article 7 ).

En quatrième lieu, votre commission a rétabli le texte actuel de la loi « informatique et libertés » en matière de d'avis de la CNIL en cas de démission d'office du correspondant. Si la proposition de loi fait le choix d'un avis conforme, l'amendement préfère le terme actuel de consultation, c'est-à-dire d' avis simple , ce qui préserve une certaine souplesse de gestion pour les structures concernées par l'obligation de désigner un CIL et répond aux critiques selon lesquelles le CIL serait un « salarié protégé ».

Enfin, votre commission a tenu à resserrer les liens entre la CNIL et les CIL , suivant en cela la logique de la proposition de loi elle-même qui a subordonné une démission d'office du CIL à l'accord de la CNIL ( cf supra ).

Ont ainsi été prévues :

- la possibilité pour la CNIL de refuser la désignation d'un CIL qui ne présente pas de garanties suffisantes de compétence ; certes, la loi prévoit aujourd'hui que toute désignation d'un CIL s'accompagne d'une notification à la CNIL qui comprend, aux termes de l'article 42 du décret précité de 2005, « tout élément relatif aux qualifications ou références professionnelles du correspondant et, le cas échéant, de son préposé en rapport avec cette fonction » . Mais ni la loi ni le décret ne permettent à la CNIL de s'opposer à la désignation d'un correspondant. Or, il apparaît légitime que la CNIL puisse refuser la nomination d'un correspondant si ses compétences semblent fragiles, en particulier dans le domaine du droit, de l'informatique, du conseil et du management (le correspondant a un rôle d'information et d'audit de l'organisme) ainsi que dans celui de la médiation et de la pédagogie (le correspondant vise à favoriser le dialogue entre le responsable du traitement, les personnes faisant l'objet du traitement et la CNIL) ;

- l'obligation pour le CIL de saisir la CNIL des difficultés qu'il rencontre ; aux termes de la rédaction actuelle de la loi (non modifiée par la proposition de loi), le correspondant « peut » saisir la CNIL des difficultés qu'il rencontre dans l'exercice de ses missions ; il est apparu préférable de prévoir une obligation et non une simple faculté ;

- l'obligation pour le CIL de transmettre à la CNIL son rapport annuel d'activité ; en effet, l'article 43 du décret précité de 2005 dispose que le CIL établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la commission . Votre commission a jugé opportun de faire évoluer cette formulation en transmission obligatoire à la CNIL et d'inscrire ce principe directement dans la loi, dans un souci de lisibilité.

D'une manière générale, votre rapporteur encourage toutes les initiatives visant à favoriser le resserrement des liens entre la CNIL et son réseau de correspondants à la fois pour mieux informer les responsables de traitement mais aussi pour permettre à la CNIL d'être davantage au fait des réalités et difficultés du terrain. Il note avec satisfaction que les CIL disposent :

- d'une ligne téléphonique et d'une adresse électronique dédiées, qui leur permettent d'avoir un accès rapide et privilégié aux services de la CNIL ;

- d'ateliers d'information sur la loi « informatique et libertés » et son application dans certains domaines clés (santé, ressources humaines, collectivités locales ...) ;

- depuis le 4 mai 2009, d'un extranet proposant des services exclusifs et notamment des forums de discussion et des outils pratiques (modèles de lettres, de fiches techniques...) ; il s'agit d'un nouvel outil qui permet d'accompagner les CIL au quotidien dans l'exercice de leurs missions.

Votre commission a adopté l'article 3 ainsi modifié .

Article 4 (art. 26 de la loi « informatique et libertés ») - Autorisation de création des fichiers de police

Cet article tend à prévoir que les grandes catégories de traitements de données personnelles intéressant la sécurité publique ou la lutte contre la délinquance et la criminalité, communément appelés « fichiers de police », ne peuvent être autorisées que par la loi .

La notion de « fichiers de police » recouvre en réalité plusieurs types de traitements de données automatisés. Les principaux sont les suivants :

- les fichiers d'antécédents judiciaires , qui permettent de collecter des informations au cours des procédures judiciaires afin de faciliter la constatation des infractions pénales, le rassemblement des preuves des infractions et la recherche de leurs auteurs ; il s'agit du système de traitement des infractions constatées (STIC) de la police nationale et du système judiciaire de document et d'exploitation (JUDEX) de la gendarmerie nationale ;

- les fichiers d'identification judiciaire , qui ont pour finalité l'identification des auteurs d'infraction et des personnes disparues ; au sein de cet ensemble figurent le fichier automatisé des empreintes digitales (FAED) et le fichier national des empreintes génétiques (FNAEG), qui ont tous deux connu récemment une très forte croissance en terme de nombre de données collectées ;

- les fichiers spécialisés qui permettent de cibler certaines infractions comme le fichier des brigades spécialisées (FBS) et le fichier des véhicules volés (FVV) ;

- les fichiers de renseignement , tels que les récents fichiers relatifs respectivement à la prévention des atteintes à la sécurité publique et aux enquêtes administratives liées à la sécurité publique (décret n° 2009-1249 et n° 2009-1250 du 16 octobre 2009), faisant suite à l'abandon du projet de fichier « Edwige » ;

- d'origine plus récente, les fichiers de rapprochements de faits ou de modes opératoires de délits sériels , tels que le logiciel d'analyse criminel de la gendarmerie (ANACRIM) et le système d'analyse et de liens de la violence associés au crime (SALVAC).

En l'état actuel du droit, il existe deux possibilités distinctes pour créer de tels fichiers.

Tout d'abord, sur le fondement de l'article 26 de la loi du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés, peuvent être créés par arrêté ou décret en Conseil d'État, pris après avis motivé et publié de la CNIL , les traitements de données « qui intéressent la sûreté de l'État, la défense ou la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ». Un décret en Conseil d'État est nécessaire pour les fichiers de police qui portent sur des données sensibles définies à l'article 8 de la loi informatique et libertés (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale des personnes, santé et vie sexuelle).

En second lieu, le gouvernement peut être autorisé par le législateur à créer tel ou tel fichier de police. Le nombre de ces habilitations législatives tend, ces dernières années, à augmenter de manière sensible, de telle sorte que le régime défini par la loi « Informatique et libertés » a été beaucoup moins appliqué . À titre d'exemple, l'article 7 de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme autorise le ministère de l'intérieur à créer le fichier des passagers aériens et son article 8 le traitement automatisé de contrôle des données signalétiques des véhicules. De même, le fichier national des immatriculations a été créé par la loi n° 90-1131 du 19 décembre 1990, tandis que le fichier national automatisé des empreintes génétiques a été autorisé par la loi n° 98-468 du 17 juin 1998.

Toutefois, le gouvernement est revenu récemment à la méthode de création par la voie réglementaire. Ont ainsi été créés par décrets deux nouveaux fichiers relatifs respectivement à la prévention des atteintes à la sécurité publique et aux enquêtes administratives liées à la sécurité publique ^{22

(

*
)} . Cette création a fait suite à l'abandon du projet de fichier « Edwige » (exploitation documentaire et valorisation de l'information générale) créé par un décret du 27 juin 2008, et qui avait suscité de fortes inquiétudes en autorisant la collecte d'informations sur toute personne jouant un rôle politique, social, religieux ou économique, y compris les données relatives à la santé et à l'orientation sexuelle.

En outre, certains fichiers sont mis en oeuvre en dehors de tout cadre juridique . Tel est le cas d'un quart des fichiers environ, dont par exemple le fichier des objets signalés et le système de traitement des images des véhicules volés de la gendarmerie nationale, ou encore le fichier des brigades spécialisées de la police nationale.

Enfin, il arrive qu'un fichier de police créé par décret en Conseil d'État reçoive une base législative quelques années plus tard, ce qui semble quelque peu contraire à la hiérarchie des normes. Ainsi, le STIC a tout d'abord fait l'objet du décret n° 2001-583 du 5 juillet 2001 et s'est ensuite vu conférer une base législative par l'article 21 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure.

Ceci reflète le caractère pragmatique et empirique du processus de création des fichiers de police. Les services de police et de gendarmerie conçoivent et mettent en oeuvre les outils dont ils ont besoin. Une fois les fichiers pleinement opérationnels, ces services s'efforcent de leur donner une base juridique. L'acte juridique autorisant le traitement ne fait alors que reprendre et constater un simple état de fait.

Cette situation quelque peu confuse ainsi que l' « affaire » du fichier Edwige a suscité la rédaction d'un rapport d'information de la commission des lois de l'Assemblée nationale sur les fichiers de police, par Mme Delphine BATHO et M. Jacques Alain BÉNISTI, et une proposition de loi des mêmes auteurs « visant à créer un cadre juridique régissant les fichiers tout en garantissant les conditions de leur modernisation » déposée par les mêmes auteurs. Le rapport préconise que l'article 26 de la loi du 6 janvier 1978 soit modifié pour prévoir que les fichiers ou toute catégorie de fichiers intéressant la sécurité publique et ceux qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ne soient autorisés que par la loi.

Parallèlement, M. Yves Détraigne et Mme Anne-Marie Escoffier ont, dans le rapport d'information précité, relevé la confusion qui prévaut en la matière et estimé également qu'il « semble légitime, compte tenu de l'importance de ces fichiers et des précautions qu'ils requièrent, qu'ils ne puissent plus être autorisés que par la loi ».

Plutôt que de prévoir une autorisation législative pour chaque fichier de police, les auteurs de la proposition de loi ont souhaité inscrire une autorisation pour chaque catégorie de fichier de police, une catégorie rassemblant « les traitements qui répondent à une même finalité, portent sur les mêmes catégories de données et ont les mêmes catégories de destinataires ». Ainsi, le gouvernement pourrait créer par des actes réglementaires une pluralité de traitements correspondant à une catégorie autorisée par la loi.

Deux catégories de fichiers disposent déjà d'un tel cadre fixé par la loi :

-les fichiers d'antécédents judiciaires sont encadrés par l'article 21 de la loi du 18 mars 2003 pour la sécurité intérieure : les décrets sur le système de traitement des infractions constatées (STIC) et sur le système judiciaire d'exploitation et de documentation (JUDEX) ont été pris pour application de ce texte respectivement le 14 octobre et 20 novembre 2006 ;

-les fichiers d'analyse sérielle, dont le régime est déterminé par l'article 21-1 de la loi de 2003 précitée, créé par la loi du 12 décembre 2005 relative au traitement de la récidive des infractions pénales : il s'agit des fichiers SALVAC et ANACRIM cités ci-dessus.

Par ailleurs, le projet de loi d'orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI), actuellement en cours d'examen à l'Assemblée nationale, comporte des dispositions de codification (dans le code de procédure pénale) de dispositions législatives intéressant les fichiers d'antécédents judiciaires et d'analyse sérielle.

La présente proposition de loi propose ainsi de généraliser cette pratique d'autorisation par la loi des catégories de traitements intéressant la sécurité publique ou la lutte contre la délinquance et la criminalité .

En outre, elle propose que chaque loi autorisant une catégorie de fichier porte mention des services responsables et des finalités des traitements appartenant à la catégorie ainsi que de la durée de conservation des données traitées.

Enfin, l'avis consultatif de la CNIL sur tout projet de loi autorisant la création d'une catégorie de fichiers devrait être transmis au Parlement simultanément au dépôt du projet de loi afin de garantir l'information la plus complète possible du législateur et d'inciter le gouvernement à associer davantage la CNIL en amont de la création des fichiers.

La position de la commission

Ce dispositif ne constituerait pas une totale innovation dans la mesure où, comme il a été dit ci-dessus, plusieurs fichiers ou catégories de fichiers de police ont récemment été créés par des lois, de sorte que le régime prévu par l'article 26 de la loi CNIL, qui prévoit que les décrets sont créés par arrêté ou décret après avis de la commission, apparait désormais plutôt comme l'exception.

Par ailleurs, il semble légitime de prévoir que le législateur puisse se prononcer sinon sur chaque fichier, du moins sur les catégories de fichiers ayant une même finalité, dans la mesure où la question relève bien des « garanties fondamentales accordées au citoyen pour l'exercice des libertés publiques » pour lesquelles la loi fixe les règles selon l'article 34 de la Constitution . Une telle intervention du législateur aurait sans doute été de nature à éviter certaines polémiques lors de la création par voie réglementaire du fichier EDVIGE, en garantissant un débat sur les finalités des fichiers de ce type, et en permettant d'atteindre un équilibre plus solide entre d'une part la nécessité de donner aux forces de l'ordre les instruments nécessaires pour qu'elles puissent exercer efficacement leurs missions et d'autre part la protection des libertés individuelles.

Toutefois, la formulation de la proposition de loi présente l'inconvénient de donner l'impression que le législateur prétend se lier lui-même en s'obligeant à intervenir dans le futur pour créer des catégories de fichiers de police . Sans censurer cette disposition, le Conseil constitutionnel, s'il en était saisi, relèverait très probablement son caractère non normatif.

En revanche, il appartient bien au législateur, s'agissant d'une matière qui relève de l'article 34 de la Constitution, de fixer les règles encadrant la création des fichiers de police.

Cette problématique a déjà été traitée par l'Assemblée nationale lors de l'examen de la proposition de loi précitée. Cette proposition présentait en effet ce même inconvénient de prétendre lier le législateur pour l'avenir, en prévoyant que tout nouveau fichier de police devrait être créé par la loi, sans fixer elle-même de cadre juridique détaillé pour ces fichiers. Il avait finalement été décidé de contourner cette difficulté en encadrant davantage, par des dispositions législatives, le champ d'action du pouvoir réglementaire, par la fixation d'une liste de finalités . Tout fichier créé par arrêté ou par décret devrait ainsi appartenir à au moins une des finalités citées . La rédaction de la liste de finalités permettait par ailleurs d'englober la plupart des fichiers existants, créés par des actes réglementaires ou sans fondement juridique spécifique. En revanche, cette rédaction impliquerait que le gouvernement dépose un nouveau projet de loi dès lors qu'il souhaiterait que les services de l'Etat puissent créer des fichiers de police dont les finalités ne sont pas couvertes par la liste.

Ces dispositions ont été introduites dans la proposition de loi de simplification et d'amélioration de la qualité du droit, telle que votée par les députés en première lecture ^{23

(

*
)} .

Votre commission a estimé qu'une telle solution présentait l'avantage capital de faire « remonter » au niveau législatif l'ensemble des finalités des fichiers de police, alors que le gouvernement avait auparavant le choix entre un projet de loi et un simple arrêté ministériel . Non seulement tout nouveau projet de création dont les finalités n'entreraient pas dans celles prévues par la loi devrait ainsi faire l'objet d'un nouveau projet de loi, mais, en outre, les finalités actuellement recensées pourraient être amendées afin de modifier la nature d'un fichier ou d'un ensemble de fichier si le législateur considère que ces finalités ne sont plus pertinentes.

Tout en reprenant ce dispositif en estimant qu'il avait davantage sa place au sein de la présente proposition de loi que dans un texte comportant diverses dispositions de simplification du droit, votre commission a toutefois souhaité apporter deux modifications à la rédaction adoptée par les députés : d'une part, les traitements intéressant la sûreté de l'Etat et la défense sont intégrés au sein de l'ensemble des fichiers de police et leurs finalités entrent ainsi dans le champ d'intervention du législateur (pour le reste leur régime juridique ne serait pas modifié et les actes réglementaires de création de ces fichiers pourraient continuer à être dispensés de publication) ; d'autre part la sixième finalité (« Centraliser les informations destinées à informer le gouvernement et le représentant de l'Etat afin de prévenir les atteintes à la sécurité publique ou à procéder aux enquêtes administratives liées à la sécurité publique » ) est scindée en deux afin de clairement distinguer ce qui relève de la prévention des atteintes à la sécurité publique et ce qui concerne les enquêtes administratives .

Par ailleurs, cet amendement détermine un régime spécifique concernant les mineurs pour les traitements relevant du 7° du I, c'est-à-dire pour les fichiers de renseignement mis en oeuvre par le ministère de l'intérieur. La durée de conservation des données personnelles les concernant devrait ainsi être inférieure à celle prévue pour les majeurs, afin de renforcer leur « droit à l'oubli ».

Serait également prévue la publication de l'ensemble des actes réglementaires créant des traitements de données intéressant la sécurité publique . Pourraient donc dorénavant seuls être dispensés de publication les actes concernant les traitements intéressant la sûreté de l'État ou de la défense alors que la législation actuelle autorise le Gouvernement à ne pas publier les actes réglementaires créant des fichiers de police dans leur ensemble. Cette disposition entérine la pratique actuelle puisque le II de l'article 26 de la loi CNIL, qui permet cette dispense de publication pour tous les types de fichiers de police, a connu une application très restrictive, seuls les fichiers de renseignement en ayant bénéficié ^{24

(

*
)} .

En outre, les actes réglementaires non publiés créant des traitements intéressant la défense ou la sécurité nationale seraient transmis à la délégation parlementaire au renseignement et à la CNIL .

Enfin, votre commission a retenu le mécanisme d'expérimentation introduit dans la proposition de loi de simplification et d'amélioration de la qualité du droit pour les traitements dont la mise en oeuvre nécessite une phase expérimentale . Ce point représente une avancée très importante car il permet à la CNIL d'intervenir en amont de l'élaboration d'un fichier de police et donc éventuellement d'infléchir le projet avant qu'il ne soit complètement « verrouillé ». Dans la situation actuelle en effet, les services de l'Etat sont conduits à présenter les traitements informatisés dans leur état final à la CNIL, ce qui présente le double inconvénient de ne pas permettre à celle-ci de suggérer des modifications en cours d'élaboration et d'obliger ceux-là à remettre en cause toute l'architecture de leur projet pour faire droit aux demandes tardives de la CNIL.

Votre commission a adopté l'article 4 ainsi modifié .

Article 4 bis (nouveau) (art. 8, 27, 31, 44 et 49 de la loi « informatique et libertés ») - Coordinations

Cet article, issu d'un amendement du rapporteur, effectue les coordinations nécessaires au sein de la loi du 6 janvier 1978 rendues nécessaires par la nouvelle rédaction de l'article 26 de cette loi.

Votre commission a adopté l'article 4 bis ainsi rédigé.

Article 4 ter (nouveau) (art. 13 de la loi « informatique et libertés ») - Création au sein de la CNIL d'une formation spécialisée chargée des fichiers de police

Afin de contribuer à l'amélioration du dialogue technique entre la CNIL et les services chargés de la mise en oeuvre des fichiers, il est proposé, par cet article issu d'un amendement du rapporteur, de créer une formation spécialisée au sein de la CNIL, consacrée aux fichiers de police . Elle aurait pour missions l'instruction des demandes d'avis sur les les projets d'actes réglementaires créant les traitements ; le suivi des procédures de mise en oeuvre expérimentale des traitements ; enfin l'organisation, en accord avec les responsables des traitements concernés, des modalités d'exercice du droit d'accès indirect.

Cette formation serait élue par la CNIL et serait composée de trois membres, dont deux membres ou ancien membres du Conseil d'État, de la Cour des comptes ou de la Cour de cassation.

Votre commission a adopté l'article 4 ter ainsi rédigé.

Article 4 quater (nouveau) (art. 16 de la loi « informatique et libertés ») - Extension des compétences du bureau de la CNIL

Cet article, issu d'un amendement du rapporteur reprenant, comme l'ensemble des articles additionnels après l'article 4, de la proposition de loi de simplification et d'amélioration de la qualité du droit précitée, permet de confier au bureau de la CNIL la possibilité d'émettre des avis au nom de celle-ci dans le cadre de la démarche d'expérimentation mentionnée au V de l'article 26 de la loi n° 78-17 du 6 janvier 1978 dans sa nouvelle rédaction. Comme indiqué ci-dessus, il s'agit de favoriser le dialogue technique en amont entre la CNIL et les services expérimentant des traitements préalablement à leur création par un acte réglementaire.

Votre commission a adopté l'article 4 quater ainsi rédigé.

Article 4 quinquies (nouveau) (art. 29 de la loi « informatique et libertés ») - Durée de conservation des données et modalités de traçabilité

Cet article, issu d'un amendement du rapporteur, propose de modifier la rédaction de l'article 29 de la loi « Informatique et Libertés » afin de rendre obligatoire dans les actes qui créent des fichiers de police l'inscription de la durée de conservation des données et les modalités de traçabilité des consultations du traitement.

Votre commission a adopté l'article 4 quinquies ainsi rédigé.

Article 4 sexies (nouveau) (art. 6 nonies de l'ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires) - Information systématique de la délégation parlementaire au renseignement sur les traitements dispensés de la publication des actes réglementaires les créant

Par coordination avec la nouvelle rédaction de l'article 26 de la loi « informatique et libertés », cet article, issu d'un amendement du rapporteur, prévoit la transmission à la délégation parlementaire au renseignement de tout décret en Conseil d'État créant un traitement dont il a été prévu une dispense de publication au Journal Officiel.

Votre commission a adopté l'article 4 sexies ainsi rédigé.

Article 4 septies (nouveau) (art. 21 de la loi n° 2003-239 du 18 mars 2003) - Amélioration du contrôle des fichiers d'antécédents judiciaires par le procureur de la République

Cet article, issu d'un amendement du rapporteur, vise à renforcer l'efficacité du contrôle des fichiers d'antécédents judiciaires par le procureur de la République.

Le 1° permet de faire figurer dans la loi le délai de traitement des demandes de mise à jour des fichiers d'antécédents judiciaires en fonction des suites judiciaires dans la loi, tout en le ramenant à un mois (au lieu de trois actuellement).

Le 2° maintient la faculté accordée au procureur de la République de maintenir dans les fichiers d'antécédents judiciaires les données personnelles d'une personne ayant bénéficié d'une décision de relaxe ou d'acquittement, mais il prévoit, en contrepartie, qu'une telle décision doit être notifiée par le procureur à la personne concernée.

Le 3° prévoit que, pour les autres types de classement sans suite que le classement motivé par une insuffisance de charges (pour lequel les données personnelles au sein du STIC ou de JUDEX peuvent être effacées), ils feront l'objet d'une mention dans ces fichiers, ce qui constituera un progrès par rapport à la situation actuelle. En effet, toute personne qui consultera les données personnelles d'un individu inscrit dans un de ces fichiers sera avisée que cet individu a bénéficié d'une mesure de classement sans suite.

Enfin, la deuxième disposition introduite par le 3° prévoit que toutes les décisions d'effacement ou de rectification des informations nominatives prises par le procureur de la République seront systématiquement transmises aux responsables des autres traitements automatisés pour lesquels ces mêmes décisions sont susceptibles d'avoir une incidence sur la durée de conservation des données.

Votre commission a adopté l'article 4 septies ainsi rédigé.

Article 4 octies (nouveau) (art. 397-5 du code de procédure pénale) - Utilisation par le ministère public des fichiers d'antécédents judiciaires dans le cadre des procédures de comparution immédiate

Cet article, issu d'un amendement du rapporteur, vise à mieux préciser les conditions d'utilisation des données figurant dans des fichiers d'antécédents judiciaires lors de procédures de comparution immédiate, afin d'établir une forme d' « égalité des armes » entre l'accusation et la défense.

Comme l'indique le rapport d'information de M. Jacques-Alain Bénisti et Mme Delphine Batho sur les fichiers de police précité, l'utilisation des fichiers de police par le ministère public au cours du procès pénal n'est pas sans conséquences sur l'équilibre entre défense et accusation.

À la différence du FNAEG, dont les éléments sont versés au dossier et peuvent faire l'objet d'une demande d'expertise contradictoire par la défense, les fichiers d'antécédents judiciaires sont souvent utilisés par l'accusation de manière orale, sans que la défense puisse y avoir accès. La mention des affaires dans laquelle une personne a été mise en cause précédemment peut jouer un rôle non négligeable dans l'opinion que se forme le juge, tout particulièrement en cas de comparution immédiate.

Afin de remédier à cette situation, il est proposé de compléter l'article 395 du code de procédure pénale en prévoyant que si le procureur de la République envisage de faire mention d'éléments concernant le prévenu et figurant dans un fichier d'antécédents judiciaires, il doit les verser au dossier auquel l'avocat a accès au titre du troisième alinéa de l'article 393 du même code.

Votre commission a adopté l'article 4 octies ainsi rédigé.

Article 5 (art. 31 de la loi « informatique et libertés ») - Obligation pour la CNIL d'indiquer au public la durée de conservation des données

L'article 5 modifie l'article 31 de la loi « informatique et libertés » afin que la liste des traitements de données que la CNIL met à la disposition du public précise, pour chacun de ces traitements, la durée de conservation des données.

La délivrance de cette information se justifie d'autant plus que le responsable de traitement doit, lors de sa déclaration à la CNIL, indiquer à cette dernière « la durée de conservation des informations traitées » (article 30, I, 5° de la loi « informatique et libertés ») et que, si un correspondant a été désigné, celui-ci tenir un registre de tous les traitements avec pour chacun d'entre eux la durée de conservation des données (article 48 du décret précité de 2005).

Votre commission a adopté l'article 5 sans modification .

Article 5 bis (nouveau) (art. 31 de la loi « informatique et libertés ») - Publicité des avis de la CNIL

A l'initiative de M. Alex Türk, votre commission a adopté un article 5 bis afin d'apporter une précision importante en matière de publicité des avis de la CNIL . Elle a prévu que chaque fois qu'une loi renvoie à des textes règlementaires d'application pris « après avis de la CNIL », sans autre forme de précision, les avis de la CNIL sont par principe publics.

La question se pose surtout en matière de fichiers de police : en effet, en vertu de l'article 26 de la loi « informatique et libertés », ces fichiers font l'objet d'un avis public de la CNIL, mais sont souvent créés sans faire référence à cet article.

A titre d'exemple, l'article 5 bis du projet de loi « récidive » crée un fichier des expertises psychiatriques, médico-psychologiques, psychologiques et pluridisciplinaires. Il précise que les caractéristiques essentielles de ce fichier seront définies par décret en Conseil d'Etat après avis de la CNIL. Toutefois, il n'indique que cet avis sera rendu public conformément à l'article 26 de la loi « informatique et libertés ».

L'amendement, de portée générale, apporte donc une opportune clarification. Ainsi ne pourra-t-on plus interpréter le silence de la loi en matière d'application de l'article 26 précité comme remettant en cause la publicité de l'avis de cette Commission.

Votre commission a adopté l'article 5 bis ainsi rédigé.

Article 6 (art. 32 de la loi « informatique et libertés ») - Obligations d'information du responsable de traitement

L'article 6 de la proposition de loi réécrit une grande partie de l'article 32 de la loi « informatique et libertés » afin d'étendre les obligations d'information du responsable du traitement .

En premier lieu, cet article prévoit que l'information visée à l'article 32, c'est-à-dire l'information sur les caractéristiques principales du traitement de données personnelles , doit être délivrée, avant ledit traitement, de manière spécifique, claire et accessible .

Par « information spécifique », il faut entendre une information distincte des conditions générales de vente ou d'utilisation. En effet, si de plus en plus de sites marchands cherchent à délivrer, à côté des conditions générales de vente, une information spécifique, généralement sous une rubrique « vie privée » ou « protection des données personnelles », ils sont encore largement minoritaires et, le plus souvent, les responsables de traitement font aujourd'hui figurer ces informations parmi les dispositions générales (livraison du produit, facturation, conditions de remboursement...).

Par « information claire », il faut entendre une information qui soit intelligible, c'est-à-dire rédigée en des termes simples, non techniques et que toute personne normalement attentive doit pouvoir aisément comprendre. D'après les auteurs de la proposition de loi, entendus par votre rapporteur, cette exigence de clarté peut, par exemple, être satisfaite par de courtes vidéos pédagogiques, notamment quand le site Internet s'adresse aux jeunes générations, davantage enclines à regarder une vidéo qu'à lire un texte.

Par « information accessible », il faut entendre une information à laquelle une personne normalement attentive peut avoir accès sans effort particulier. Alors que la clarté renvoie à une notion intellectuelle, l'accessibilité a trait, quant à elle, à une notion de présentation. Ainsi l'information devra-t-elle être repérée sans difficultés et figurer en caractères suffisamment grands.

En second lieu, l'article 6 de la proposition de loi étend la liste des mentions que le responsable de traitement doit obligatoirement porter à la connaissance de la personne objet du traitement. Cette extension n'est pas contraire à la directive précitée du 24 octobre 1995 puisque son article 10 dispose qu' « en cas de collecte de données auprès de la personne concernée, les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous ».

Deux nouvelles mentions deviennent obligatoires : la durée de conservation des données collectées et les modalités d'exercice des droits d'accès, de rectification et de suppression par voie électronique.

Tout d'abord, la durée de conservation des données collectées constitue, pour les personnes qui font l'objet du traitement, une information tout aussi essentielle que l'identité du responsable de traitement ou la finalité de ce dernier. La proposition de loi fait donc le choix d'ajouter cette mention. Rappelons que le rapport d'information précité sur « la vie privée à l'heure du numérique » préconise de faire du citoyen « l'acteur de sa propre protection » ou le « gendarme de ses propres données ». Or, il ne peut exercer cette vigilance que s'il est informé en toute transparence de la durée de conservation des données qu'il s'apprête à livrer au responsable de traitement. Comme indiqué précédemment (voir commentaire de l'article 5), la délivrance de cette information se justifie d'autant plus que le responsable de traitement doit, lors de sa déclaration à la CNIL, indiquer à cette dernière « la durée de conservation des informations traitées » et que, si un correspondant a été désigné, celui-ci doit tenir un registre de tous les traitements avec pour chacun d'entre eux la durée de conservation des données.

La seconde mention que la proposition de loi rend obligatoire concerne la possibilité d'exercer les droits d'accès, de rectification et de suppression par voie électronique, après identification . L'objectif est de faciliter l'exercice de ces droits alors que les responsables de traitement prévoient aujourd'hui généralement la seule transmission par courrier postal , de nature à décourager les personnes concernées.

En troisième lieu, l'article 6 de la proposition de loi crée une obligation pour le responsable du traitement disposant d'un site Internet d'y créer une rubrique spécifique, claire, accessible et permanente reprenant les mentions obligatoires prévues au I de l'article 32, complétées comme indiqué précédemment. Il s'agit d'une obligation distincte de celle évoquée plus haut, qui ne concerne que l'information donnée au moment du recueil des données. C'est pourquoi l'information doit être délivrée, non seulement de manière « spécifique, claire, accessible » mais également de manière permanente , c'est-à-dire indépendamment de tout traitement . Concrètement, si le responsable de traitement dispose d'un site Internet, il devra indiquer dans une rubrique dédiée toutes les caractéristiques des traitements qu'il est susceptible d'effectuer : finalité, durée de conservation, cession des informations à des tiers... Notons que lorsqu'il recueille effectivement des données personnelles, il pourra renvoyer à cette rubrique permanente, située, par exemple, à côté des « mentions légales ».

Enfin, l'article 6 de la proposition de loi apporte deux modifications importantes au régime juridique des « cookies ».

D'une part, il renforce l'obligation d'information incombant au responsable du traitement. Tel qu'il est actuellement rédigé, l'article 32 de la loi « informatique et libertés » dispose que l'information doit être « claire et complète ». La rédaction proposée est « spécifique, claire, accessible et permanente ». Elle ne reprend pas l'adjectif « complet » mais on peut le considérer comme inutile car le II de l'article 32 détaille le contenu de l'information à délivrer à l'internaute. Elle prévoit en revanche de nouvelles exigences dans les conditions définies plus haut à propos des responsables de traitement (information spécifique, accessible et permanente). En outre, les responsables de traitement ne devront pas seulement informer les utilisateurs de la finalité des cookies - ce que prévoit aujourd'hui l'article 32 précité - mais également de la nature des informations stockées ainsi que des personnes ou catégories de personnes habilitées à avoir accès à ces informations. La grande majorité des personnes entendues par votre rapporteur ont salué l'ensemble des dispositions tendant à renforcer l'obligation d'information en matière de « cookies ».

D'autre part, l'article 6 du texte proposé impose le consentement de l'utilisateur avant tout stockage de « cookies » sur son ordinateur.

Pour prendre la mesure de la portée de cette disposition, rappelons que les « cookies » sont de petits fichiers d'une centaine d'octets que le navigateur utilisé par l'internaute (Internet Explorer, Opéra...) installe sur le disque dur de ce dernier à la demande du site consulté. Créés en 1994 par des ingénieurs de Netscape, les « cookies » sont également appelés « mouchards électroniques » ou « témoins de connexion ». Leur objet est de permettre au site qui les a envoyés de « reconnaître » l'internaute en stockant un certain nombre d'informations : adresse IP, système d'exploitation et navigateur utilisés, pages consultées, nombre de visites du site.... En cela, les « cookies » permettent de faciliter la navigation , en mémorisant un certain nombre d'informations que l'internaute n'aura pas à ressaisir ultérieurement (par exemple, un cookie permettra à un internaute faisant ses achats en ligne de conserver en mémoire les produits placés dans le panier virtuel et de les présenter sur la facture finale). Toutefois, les « cookies » permettent également au fournisseur de contenu ou à la régie publicitaire de conserver en mémoire un grand nombre d'informations relatives aux habitudes de navigation de l'internaute, leur offrant ainsi la possibilité de lui proposer des publicités conformes à ses préférences (telles qu'elles auront été déduites des informations collectées).

On peut donc distinguer deux formes de « cookies » : les « cookies » techniques , dits « de session » strictement nécessaires à la navigation, comme dans le cas précité du « panier virtuel » et les « cookies » comportementaux qui comprennent des informations sur les habitudes de navigation de l'internaute.

Bien que le terme « cookies » n'apparaisse pas dans la loi « informatique et libertés », son article 32, en son paragraphe II, vise tous les outils qui ont pour effet d'inscrire ou d'accéder à des informations stockées sur l'ordinateur d'un utilisateur : il est admis que cette définition renvoie explicitement aux « cookies ». Ce même article dispose que l'internaute doit être informé de « manière claire et complète » de la finalité des « cookies » ainsi que des moyens pour s'y opposer . Seuls échappent à cette obligation d'information les « cookies » techniques. Les moyens actuels pour s'y opposer sont les suivants : paramétrer son navigateur Internet de manière appropriée soit pour refuser a priori tous les « cookies » comportementaux soit pour les effacer a posteriori du disque dur.

La proposition de loi opère une évolution profonde en passant d'une logique d'opposition dite « d'opt-out » à une logique de consentement dite d' « opt-in ». Il est en effet très différent d'avoir un droit de refus des « cookies » ou d'avoir un droit au consentement. Dans le premier cas, le silence de l'utilisateur vaut acceptation ; dans le second, il vaut refus.

Votre commission a adopté deux amendements tendant principalement à :

- remplacer la formule « avant tout traitement de données » par « dès la collecte de données » afin que l'information obligatoire du responsable de traitement soit bien comprise comme ne devant être délivrée qu'en cas de traitement effectif de données personnelles, et non, par exemple, dans le cas d'une simple demande de renseignement général (alinéa 2) ;

- assouplir l'obligation d'information concernant la durée de conservation des données en prévoyant l'information sur les seuls « critères déterminant la durée de conservation des données ». Un responsable de traitement ne serait ainsi pas tenu de communiquer une durée sous forme d'un chiffre précis (5 ans, 10 ans...) mais pourrait, par exemple, faire référence à d'autres notions telles que la durée du contrat, les délais de prescription, les délais légaux de conservation des données en fonction des usages : ainsi la SACEM a-t-elle l'obligation de conserver certaines données 101 ans... ;

- modifier les alinéas 10 et 11 afin de clarifier que la personne objet du traitement doit être informée des coordonnées du service auprès duquel elle peut exercer ses droits d'accès, de rectification et de suppression, même si le responsable de traitement ne dispose pas d'un site Internet ; dans ce cas, le responsable de traitement devra, en outre, indiquer les modalités d'exercice de ces droits par voie électronique après identification. A cet égard, votre rapporteur s'est longuement interrogé sur l'opportunité de remplacer le terme « identification », qui figure dans la proposition de loi, par celui d' « authentification ». En effet, ce dernier terme suppose une preuve d'identité plus forte que la simple identification par un identifiant (ou « log-in ») et un mot de passe. Dans un premier temps, votre rapporteur avait jugé préférable de prévoir une obligation d'authentification , dans le souci d'éviter des usurpations d'identité numérique qui peuvent se produire, par exemple, en cas de conflits familiaux. Toutefois, il a été convaincu au fil des auditions, d'une part, que l'authentification pourrait être comprise comme interdisant la possibilité, ouverte aujourd'hui par l'article 92 du décret précité de 2005, d'exercer ces droits d'accès, de rectification et de suppression par voie postale en joignant à la demande une photocopie de la pièce d'identité, d'autre part, que le terme « identification » était suffisamment large pour que le décret d'application de la loi « informatique et liberté » soit modifié pour prévoir une identification plus forte, quand, par exemple, la carte nationale d'identité électronique sera mise en place ;

- clarifier, à l'alinéa 14, que l'adjectif « spécifique » renvoie à une rubrique dédiée, comme le souligne d'ailleurs l'exposé des motifs de la proposition de lois ;

- préciser que l'information sur les « cookies » devra être globale (alinéa 16) afin d'éviter une fastidieuse information au cas par cas ;

- préciser que l'utilisateur doit être en mesure d'exprimer son choix , quel qu'il soit, en matière de « cookies », avant toute introduction sur son disque dur de tels « mouchards électroniques ». Pour votre rapporteur, ce choix passe notamment par le paramétrage approprié du navigateur Internet .

Ces deux derniers points méritent que l'on s'y arrête .

Lors de leur audition, les auteurs de la proposition de loi ont expliqué que le basculement refus-consentement évoqué plus haut n'était qu'une transposition fidèle de la directive 2009/136/CE du 18 décembre 2009 modifiant la directive 2002/58/CE « Vie privée et Communications Electroniques » du 12 juillet 2002. Tel qu'il est désormais rédigé, l'article 5-3 de cette dernière directive prévoit que « les États membres garantissent que le stockage d'informations ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement ».

Précisons que les Etats-membres ont jusqu'au 25 mai 2011 pour transposer cette directive.

De nombreuses personnes entendues par votre rapporteur ont fait valoir que la transposition proposée était contraire à l'esprit, voire à la lettre même de la nouvelle directive, qui doit être interprétée à la lumière du considérant 66 qui révèle l'intention du législateur communautaire.

Les arguments suivants ont été avancés :

- le considérant 66 vise certes « l'accord de l'utilisateur », mais également, à deux reprises, « le droit de refus » ;

- ni le nouvel article 5-3 de la directive « Vie privée et Communications Electroniques » ni le considérant 66 ne prévoient que cet accord doit être préalable à l'introduction de « cookies » dans l'ordinateur de l'internaute, le terme « préalable » ayant disparu au cours des discussions à Bruxelles ;

- une déclaration commune signée le 19 novembre 2009 par 13 Etats membres (l'Autriche, la Belgique, l'Estonie, la Finlande, l'Allemagne, l'Irlande, la Lettonie, Malte, la Pologne, la Roumanie, la Slovaquie, l'Espagne et le Royaume-Uni) a interprété le nouvel article 5-3 de la directive comme ne remettant pas en cause « le droit de refus actuel en matière de cookies ». Mme Nathalie Kosciusko-Morizet, secrétaire d'Etat chargée de la Prospective et du Développement de l'Economie Numérique, a, quant à elle, fait savoir à votre rapporteur que « la France n'interprétait pas l'article 5 de la nouvelle directive comme la création d'une nouvelle obligation, mais bien comme la réaffirmation du droit de l'internaute à refuser les cookies », et que « cette interprétation a semblé assez évidente à la France pour quelle ne se joigne pas à la déclaration commune ».

Cette question juridique - le législateur communautaire a-t-il entendu passer d'une logique d'opposition à une logique de consentement ? - est d'autant plus importante qu'elle est au coeur d'enjeux économiques considérables.

Les représentants des professionnels de la publicité en ligne entendus par votre rapporteur ont ainsi souligné que l'introduction en droit français du consentement préalable en matière de « cookies » serait doublement préjudiciable :

- elle serait « catastrophique pour le commerce électronique » et provoquerait « un effondrement des revenus publicitaires », qui constituent des « sources vitales de revenus pour nombre d'éditeurs de sites ». Elle marquerait « la fin de la publicité ciblée », « un coup fatal à la presse en ligne, aux sites de contenus, au e-commerce » et conduirait la France à perdre des activités et des emplois au profit d'Etats dans lesquels la législation est moins contraignante ;

- elle affecterait aussi les internautes eux-mêmes dans leur pratique d'Internet. Adopter le principe de l'Opt-in serait une entrave à la navigation fluide et rapide des internautes, « ces derniers étant obligés de réitérer continuellement leur souhait d'accepter ou de refuser les cookies pour chaque site, voire chaque page web, consulté ». En pratique, ils se verraient contraints d'interrompre leur navigation pour cliquer sur des fenêtres (ou « pop-up ») d'acceptation sur leur écran. Face aux demandes permanentes envahissant leur écran et à l'accès ralenti aux services en ligne, « ces internautes finiraient très vite par exprimer leur mécontentement », voire, « pour nombre d'entre eux, à abandonner purement et simplement le média Internet ».

Face à ces remarques, votre rapporteur souligne, en premier lieu, qu'il est essentiel, comme le fait la proposition de loi, d'améliorer l'information des internautes sur les « cookies » comportementaux. Une meilleure connaissance du fonctionnement et des finalités de ces témoins de connexion ne pourra que conforter l'objectif, poursuivi par les auteurs de la proposition de loi, de rendre les individus acteurs de leur propre protection. Une information spécifique, claire, accessible, permanente garantit un choix éclairé en fonction du bilan avantages/inconvénients ressenti en matière de « cookies ».

En second lieu, votre rapporteur considère qu'un accord ou un consentement sont nécessairement préalables , même si la directive n'a in fine pas retenu cette précision.

Enfin , il admet que, tel qu'il figure dans la proposition de loi, le principe de l'Opt-in risquerait de contrarier de manière excessive le développement du commerce en ligne ainsi que la navigation des internautes, ce qui ne pouvait pas être l'intention du législateur communautaire.

En conséquence, votre rapporteur interprète la nouvelle norme communautaire comme :

- la consécration juridique des dernières évolutions techniques des navigateurs, évolutions qui consistent à offrir aux internautes de nombreuses possibilités de paramétrage en matière de « cookies » ;

- l'obligation pour les responsables de traitement, c'est-à-dire les annonceurs en ligne, et, à travers eux, les sites Internet qui les accueille, d'informer très clairement les internautes de ces possibilités de réglage et de les expliciter.

En conséquence, votre rapporteur a acquis la conviction que la directive n'a pas tranché le débat « opt in »/« opt out » ^{25

(

*
)} mais qu'elle a en revanche mis l'accent sur la nécessité de permettre à l'utilisateur d'exprimer un choix préalable et éclairé en matière de « cookies ».

Tel est le sens de la modification adoptée par votre commission.

Cette lecture du nouvel article 5-3 de la directive paraît conforme au considérant 66 qui prévoit que les méthodes retenues pour informer l'utilisateur et permettre son accord « devraient être les plus conviviales possibles » et que cet accord peut s'exprimer techniquement « par le paramétrage du navigateur » (Internet Explorer, Opéra...). Pour votre rapporteur, le navigateur paraît bien l'outil approprié pour permettre à l'utilisateur d'exprimer un choix a priori en matière de « cookies », sans remettre en cause la fluidité de la navigation sur Internet.

Il appartiendra à l'avenir aux représentants des utilisateurs, des sites Internet et des éditeurs de navigateurs de déterminer ensemble les modalités précises de ce paramétrage : un réglage par défaut est-il proposé à l'internaute au moment de l'installation ou de la mise à jour du navigateur ? Si oui, lequel ? Est-il facile de le modifier ? Est-on obligé de faire un choix global en matière de « cookies » (acceptation ou refus en bloc) ou peut-on gérer des préférences en fonction des caractéristiques des « cookies » qui sont généralement différentes d'un site à l'autre ?

On pourrait imaginer que les navigateurs qui proposent à l'utilisateur un paramétrage par défaut protecteur des données ou, à tout le moins, offrent des possibilités de contrôle fin en matière de « cookies », reçoivent, à l'avenir, un label « protection des données » .

Rappelons, en effet, que le rapport d'information des auteurs de la proposition de loi plaide pour la création de labels identifiant et valorisant des logiciels, applications et systèmes offrant des garanties renforcées en matière de protection des données personnelles. Le rapport regrette l'absence d'information relative au niveau de protection offert par les différents produits ou procédures proposés sur le marché en matière de droit à la vie privée.

Cette lacune contraste avec l'information délivrée aux consommateurs dans de nombreux domaines tels que la restauration, l'automobile ou l'environnement. On sait ainsi qu'un hôtel 3 étoiles offre de bonnes prestations, qu'un véhicule 5 étoiles est très résistant aux chocs et qu'un congélateur de classe A + consomme peu d'énergie.

Ces informations sur la qualité des produits semblent donner entière satisfaction aux consommateurs et leur fournissent des repères très utiles pour orienter leurs achats. Ce besoin d'information est peut-être encore plus fort dans le domaine du numérique compte tenu de l'abondance des produits existants, de leur technicité et de leur caractère relativement récent. C'est pourquoi, conclut le rapport sur ce point, il est « probable qu'à prix et service égaux, un utilisateur privilégierait s'il a le choix un produit labellisé, et que même à prix plus élevé ou service moindre, il pourrait refuser une technologie intrusive au profit d'une technologie dont le label lui assure un niveau de protection supérieur. »

Votre commission a adopté l'article 6 ainsi modifié .

Article 7 (art. 34 de la loi « informatique et libertés ») - Notification des failles de sécurité

Cet article tend à renforcer les obligations des responsables de traitements en matière de sécurité des données personnelles.

Une protection efficace des données personnelles contre les pertes accidentelles, les violations, les altérations ou les divulgations indues constitue un enjeu important, puisqu'elle contribue à maintenir la confiance des utilisateurs et des consommateurs de services électroniques mais aussi celle des clients des banques ou des usagers de l'administration.

Nombre de « failles de sécurité » se résument à la perte accidentelle d'un support matériel sur lequel des données personnelles sont inscrites : ainsi la perte par la première banque britannique d'un cédérom contenant des informations sur plusieurs centaines de milliers de clients ou bien la vente sur le site d'enchères eBay d'un ordinateur contenant les données bancaires d'un million de personnes.

Toutefois, il peut s'agir également des conséquences d'intrusions dans les systèmes informatiques par les réseaux. Dans ce dernier cas, la difficulté de réaliser systématiquement des attaques-tests pour tester la fiabilité des systèmes et l'évolution permanente des techniques utilisées par les pirates informatiques rend la protection plus aléatoire.

L'article 34 de la loi 6 février 1978 modifiée impose déjà aux responsables de traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

En dépit de ces dispositions, le niveau général de protection des données personnelles en France n'est pas satisfaisant , comme l'a rappelé le rapport d'information de M. Yves Détraigne et Mme Escoffier précité. Si aucune perte massive de données ou de violation majeure d'un traitement n'a eu pour le moment de fort retentissement médiatique, un tel événement est probable tant la protection des données n'est pas encore une préoccupation majeure des différents acteurs concernés. Ainsi, des précautions relativement efficaces telles que le cryptage des données ne sont encore que rarement mises en oeuvre.

S'appuyant sur ce constat, l'article 7 tend à instaurer une obligation d'information sur les failles de sécurité , telle qu'elle existe par exemple dans la majorité des Etats américains, afin d'inciter les responsables de traitement des données personnelles à mettre en oeuvre les mesures de protection adéquates. En effet, les conséquences pour la crédibilité d'une entreprise ou d'un organisme d'une telle information sont potentiellement importantes et peuvent donc l'amener à renforcer ses procédures de sécurité.

Or, dans le cadre de la réforme du paquet « télécom », la commission européenne a présenté, le 13 novembre 2007, trois propositions de texte dont une proposition de directive modifiant la directive 2002/58/CE. Le (3) de l'article 2 de cette proposition tend à obliger les responsables de traitements, « en cas de violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles », à avertir l'autorité administrative compétente et l'abonné concerné.

Compte tenu du champ de la directive « vie privée et communications électroniques », cette obligation de notification ne concernerait que les fournisseurs de services de communications électroniques accessibles au public, tels que les opérateurs mobiles ou les FAI. Toutefois, les considérants de la directive préconisent l'extension de cette procédure à l'ensemble des secteurs, en soulignant que « l'intérêt des utilisateurs à être informés ne se limite pas, à l'évidence, au secteur des communications électroniques, et il convient dès lors d'introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs ».

Les auteurs de la proposition de loi ont ainsi estimé que cette obligation pouvait utilement être étendue à l'ensemble des responsables de traitements de données personnelles. Cette extension conduit par ailleurs à écarter l'hypothèse d'une compétence de l'Autorité de régulation des communications électroniques et des postes (ARCEP) en la matière, au profit de la compétence de la CNIL.

La présente proposition tend ainsi d'une part à préciser la nature des atteintes qui peuvent être portées à un traitement de données personnelles et d'autre part à prévoir que, si une telle atteinte a lieu, le responsable du traitement avertit la CNIL qui peut elle-même, dans le cas où cette atteinte est de nature à affecter les données à caractère personnel d'une ou plusieurs personnes physiques, exiger du responsable de traitement qu'il avertisse ces personnes.

La position de votre commission

Tout en validant l'essentiel de cet article, votre commission a souhaité renforcer le rôle du correspondant informatique et libertés (que l'article 3 de la proposition de loi tend à rendre obligatoire lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel qui relève du régime d'autorisation ou pour lequel plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en oeuvre). Elle a ainsi proposé un amendement tendant à prévoir que, en cas de violation d'un traitement de données à caractère personnel, le responsable de traitement a l'obligation d'avertir le correspondant informatique et liberté , qui avertira lui-même la CNIL. Par ailleurs, dans le cas où cette violation aurait affecté des données personnelles d'une ou plusieurs personnes physiques, le responsable de traitement devrait en informer ces personnes.

Par cohérence avec le premier paragraphe du texte proposé et afin de ne viser que les failles de sécurité proprement dites, le vocable d' « atteinte » de la proposition de loi serait remplacé par celui de « violation », ce qui permet de ne pas viser les autres atteintes telles que, par exemple, la conservation d'une donnée au-delà de la durée maximale autorisée, qui sont déjà couvertes par la loi.

Le terme de « notification » serait par ailleurs remplacé par celui plus général d' « information » afin que la violation de données puisse être portée à la connaissance des personnes concernées par tout moyen que précisera le décret en conseil d'Etat d'application (email, courrier, publication dans la presse, etc.), au lieu du seul envoi personnalisé avec accusé de réception, comme le terme de « notification » tendrait à l'imposer.

Enfin, votre commission a adopté un amendement prévoyant que l'ensemble de ces obligations d'information ne s'appliquent pas aux fichiers de police. En effet, il ne paraît pas envisageable, par exemple, d'informer des personnes inscrites dans un fichier de renseignement que des données les concernant ont été perdues.

Votre commission a adopté l'article 7 ainsi rédigé.

Article 8 (art. 38 de la loi « informatique et libertés ») - Droit d'opposition à un traitement

L'article 8 de la proposition de loi facilite l'exercice du droit d'opposition . Il substitue au terme « opposition », mal compris, celui, plus explicite, de « suppression » et dispose que ce droit de suppression s'exerce « sans frais ». En outre, il réécrit l'article 38 de la loi « informatique et libertés » relatif au droit d'opposition pour bien distinguer le droit d'opposition commerciale, qui s'exerce avant tout traitement ou, en cas de collecte indirecte, avant toute communication des données, et le droit de suppression des données qui s'exerce, par définition, après.

Insistons sur le fait que le droit d'opposition prévu au premier alinéa de l'actuel article 38 de la loi « informatique et libertés » est au coeur du droit à l'oubli numérique : il permet à chaque individu, pour des motifs légitimes ( cf infra ), de demander à retirer d'Internet des données personnelles, qu'elles aient été livrées par la personne elle-même ou par des tiers.

En effet, la CNIL, par deux délibérations en date du 22 novembre 2005, a considéré que les sites Internet, y compris ceux réalisés par des particuliers, constituent des traitements automatisés de données : « La diffusion ou la collecte d'une donnée à caractère personnel à partir d'un site web constitue un traitement automatisé de données à caractère personnel soumis aux dispositions de la loi du 6 janvier 1978 modifiée, notamment celles relatives aux formalités préalables ».

Ce point a également été confirmé par la jurisprudence :

- à propos d'un site référençant des notaires (CA Bourges, 11 avril 2007, Ligue européenne de défense des victimes de notaires c/ Ministère public) ;

- à propos d'un site « antisectes » (TGI Villefranche sur Saône, 18 février 2003, Ministère public c/ X confirmé par CA Lyon, 25 février 2004) ;

- à propos du site de notation des professeurs (CA Paris, 25 juin 2008, note2be c/ SNES) ;

- à propos d'un forum de discussion, (TGI Paris, réf., 14 avril 2008, X c/ Google France).

Le droit d'opposition permet ainsi à un individu d'effacer, s'il le souhaite, son passé numérique.

Pour votre commission, le droit d'opposition couvre toutes les hypothèses, y compris la suppression des liens persistants des moteurs de recherche. En effet, votre rapporteur a pu constater que même quand les pages Internet ont disparu, les moteurs de recherche continuent à donner en quelques mots l'information contenue dans ces pages. Il importe donc que les moteurs de recherche améliorent leur système de désindexation automatique des pages Internet supprimées et qu'à défaut ils fassent droit rapidement aux demandes d'opposition qui leur sont adressées.

Signalons également que la suppression des données peut passer par leur effacement ou leur anonymisation. Dans ce dernier cas, l'anonymisation doit être irréversible . En avril 2008, le G29 ^{26

(
*
)} , dans son rapport sur les moteurs de recherche, soulignait justement que « lorsque l'anonymisation est préférée à la suppression des données, les méthodes utilisées devraient être étudiées soigneusement et exécutées jusqu'au bout. Cela peut impliquer la suppression de portions de l'historique de recherche, afin d'éviter la possibilité d'identification indirecte de l'utilisateur qui a effectué les recherches en question. »

La position de votre commission

Outre un amendement rédactionnel, votre commission a adopté deux amendements.

Le premier modifie l'alinéa 2 de l'article 8 afin de remplacer la formule « avant tout traitement de données » par « dès la collecte de données » afin de clarifier que la possibilité d'exercer son droit d'opposition commerciale se fait dès la collecte de données, et non avant celle-ci ;

Le second - plus important - réécrit l'alinéa 3 de l'article 8 afin de clarifier l'exercice du droit de suppression.

Actuellement, ce droit ne peut être exercé qu'à trois conditions cumulatives : que le demandeur invoque des « motifs légitimes », que le traitement ne réponde pas à une obligation légale et que l'exercice de ce droit n'ait pas été écarté par une disposition expresse de l'acte autorisant le traitement.

Votre rapporteur a vainement cherché à préciser la notion de « motifs légitimes ». Transposée littéralement en 2004 de la directive de 1995, elle n'a pas été explicitée au cours des débats parlementaires et n'a fait l'objet, semble-t-il, que d'une jurisprudence très limitée . Tout au plus trouve-t-on un arrêt de la Cour d'appel de Besançon qui a déclaré légitime l'opposition formulée par une personne à la diffusion sur un site internet de données que la juridiction a reconnu comme « outrageantes ». Elle a ainsi ordonné le retrait de ces données, sous astreinte de deux cents euros par jour de retard ^{27

(

*
)} . On peut donc penser que les motifs d'exercice du droit à l'oubli sont légitimes quand le responsable de traitement a porté atteinte à un droit fondamental de l'individu tel que la présomption d'innocence, le droit à la vie privée, à l'honneur, la considération... Votre rapporteur n'ayant pu trouver une rédaction de nature à ne créer aucune difficulté d'interprétation, votre commission a jugé plus prudent de ne pas revenir sur la notion actuelle de « motifs légitimes » mais de mieux encadrer son expression.

Votre commission a ainsi souhaité préciser que le droit à la suppression des données ne pourrait être exercé dans quatre nouveaux cas de figure :

- lorsque les données sont nécessaires à la finalité du traitement : il s'agit d'éviter que les données soient effacées dans le cas, par exemple, où un bien est toujours sous garantie ou n'a pas été entièrement réglé par le consommateur ;

- lorsque le traitement est nécessaire pour la sauvegarde, la constatation, l'exercice ou la défense d'un droit ;

- lorsque le droit de suppression porte atteinte à une liberté publique garantie par la loi : il s'agit essentiellement de protéger la liberté de la presse ;

- lorsque les données constituent un fait historique : le droit de suppression ne peut avoir pour objet ou pour effet de réécrire ou de falsifier l'histoire.

Votre commission a adopté l'article 8 ainsi modifié .

Article 9 (art. 39 de la loi « informatique et libertés ») - Obligation pour le responsable de traitement d'indiquer l'origine de la donnée

L'article 9, outre des coordinations avec l'article 32 de la loi « informatique et libertés », précise l'obligation pour le responsable du traitement interrogé au titre du droit d'accès d'indiquer l'origine de la donnée . Cette indication permet en effet à la personne objet du traitement de remonter jusqu'au responsable du traitement détenteur du fichier d'origine et d'exercer éventuellement auprès de lui ses droits d'accès, de rectification ou d'opposition. Or seule est actuellement prévue la communication des informations disponibles quant à l'origine des données personnelles, disponibilité qui, en pratique, est rare, les opérateurs n'ayant, semble-t-il, pas mis en place les outils adéquats.

Au cours des auditions, votre rapporteur a été sensible au fait qu'il était extrêmement difficile pour les responsables de traitement de connaître l'origine précise des données qu'ils détiennent. En effet, une fois acquises, les données sont souvent traitées à nouveau en fonction de critères complexes.

Votre commission a donc souhaité revenir à la rédaction actuelle « information disponible quant à l'origine des données » tout en clarifiant un point : même si l'origine des données n'est pas connue, le responsable de traitement ne peut échapper à son obligation de communiquer le contenu précis des données qu'il détient lorsqu'il est interrogé au titre du droit d'accès. Votre commission a donc adopté un amendement en ce sens.

Elle a adopté l'article 9 ainsi modifié .

Article 9 bis (nouveau) (art. 44 de la loi « informatique et libertés ») - Contrôles inopinés de la CNIL

A l'initiative du Gouvernement ^{28

(
*
)} , votre commission a adopté un article 9 bis afin de donner à la CNIL la possibilité de demander au juge des libertés et de la détention l'autorisation préalable d'effectuer une visite inopinée « lorsque l'urgence, la gravité des faits justifiant le contrôle ou le risque de destruction ou de dissimulation de documents l'exigent ».

En effet, tel qu'il est actuellement rédigé, l'article 44 de la loi « informatique et libertés » dispose que le responsable des lieux peut s'opposer à une visite de la Commission . Dans ce cas, la visite ne peut se dérouler qu'avec l'autorisation d'un président du tribunal de grande instance territorialement compétent ou du juge délégué par lui. Ce magistrat est saisi à la requête du Président de la Commission.

Le Conseil d'Etat a d'ailleurs récemment conforté ce principe en estimant, sur le fondement de l'article 8 de la Convention européenne des droits de l'homme relatif à l'inviolabilité du domicile, que les responsables des locaux dans lesquels se déroule un contrôle de la CNIL doivent même être « informés de leur droit à s'opposer à ces visites » (arrêt du 6 novembre 2009 du Conseil d'Etat, Société Inter Confort, req. N° 304300).

Or, ce droit d'opposition est de nature à restreindre considérablement la portée et l'efficacité des contrôles de la CNIL puisque l'organisme contrôlé pourra bénéficier du temps nécessaire à l'obtention d'une ordonnance judiciaire pour effacer - ou dissimuler - des données informatiques qui seraient contraires à la loi.

En permettant au juge des libertés et de la détention, gardien des libertés individuelles, d'autoriser la CNIL à effectuer un contrôle inopiné , l'amendement renforce l'efficacité de la CNIL dans sa mission de contrôle sans porter atteinte aux droits du responsable des lieux visités . En effet, conformément à l'article 44 précité, la visite s'effectue sous l'autorité et le contrôle du juge qui l'a autorisée et celui-ci peut décider l'arrêt ou la suspension de la visite à tout moment.

Votre commission a adopté l'article 9 bis ainsi rédigé.

Article 10 (art. 45 de la loi « informatique et libertés ») - Publicité des audiences de la formation restreinte de la CNIL

L'article 10 modifie l'article 45 de la loi « informatique et libertés » afin de rendre systématiquement publiques les audiences de la formation restreinte de la CNIL alors que les audiences ne sont aujourd'hui publiques qu'à la demande des parties.

La proposition de loi entend tirer les conséquences d'une ordonnance du Conseil d'État du 19 février 2008 qui considère que la Commission, « eu égard à sa nature, à sa composition et à ses attributions » , peut être qualifiée de tribunal au sens de l'article 6-1 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ^{29

(
*
)} . Or, cet article dispose que « toute personne a droit à ce que sa cause soit entendue (...) publiquement ».

Toutefois, votre commission estime que la CNIL ne peut être regardée comme un tribunal à l'égal des juridictions « classiques » et n'a donc pas à se conformer à toutes les exigences du procès équitable. Dans un cas proche, le Conseil d'Etat, dans un arrêt du 4 avril 1999 à propos du pouvoir de sanction reconnu au Conseil du marché à terme, n'en a pas jugé autrement ^{30

(

*
)} . La haute juridiction indique dans cet arrêt que la publicité des audiences de ce Conseil n'est pas obligatoire dès lors que les personnes sanctionnées peuvent saisir le Conseil d'Etat d'un recours de pleine juridiction examiné, lui, en séance publique conformément à l'article 6-1 précité.

Le même raisonnement pourrait être tenu pour la CNIL dont les sanctions sont susceptibles de recours devant le Conseil d'Etat aux termes de l'article 46 de la loi « informatique et libertés ».

En conséquence, votre commission a supprimé l'article 10.

Article 11 (art. 46 de la loi « informatique et libertés ») - Publicité des sanctions de la CNIL

Cet article rend plus aisée la publicité des sanctions les plus graves prononcées par la CNIL, publicité aujourd'hui conditionnée à la « mauvaise foi du responsable du traitement » . L'article supprime cette condition.

Aux termes de l'actuel 46 de la loi « informatique et libertés », la CNIL peut rendre publics les avertissements qu'elle prononce en vertu de l'article 45 de la même loi. Pour les autres sanctions, à savoir les mises en demeure, les sanctions pécuniaires et les injonctions de cesser un traitement, elle ne peut ordonner leur insertion dans des publication, journaux et supports qu'elle désigne, qu'en cas de mauvaise foi du responsable de traitement, mauvaise foi qu'il n'est pas toujours facile de démontrer comme l'a indiqué M. Alex Türk à votre rapporteur lors de son audition.

En conséquence, l'article supprime opportunément cette condition.

Votre commission a adopté l'article 11 sans modification .

Article 12 (art. 47 de la loi « informatique et libertés ») - Sanctions pécuniaires susceptibles d'être prononcées par la CNIL

Cet article tend à élever le montant des sanctions pécuniaires susceptibles d'être prononcées par la CNIL en cas de manquement aux obligations prévues par la loi « informatique et libertés » du 6 janvier 1978.

L'article 45 de cette loi dispose que la CNIL peut prononcer un avertissement à l'égard du responsable d'un traitement qui ne respecte pas les obligations découlant de la loi « informatique et libertés ». Elle peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu'elle fixe.

Si le responsable du traitement ne se conforme pas à la mise en demeure qui lui est adressée, la CNIL peut prononcer à son encontre, après une procédure contradictoire :

- une sanction pécuniaire, à l'exception des cas où le traitement est mis en oeuvre par l'Etat ;

- une injonction de cesser le traitement, lorsque celui-ci a fait l'objet d'une déclaration, ou un retrait de l'autorisation, lorsque le traitement a été préalablement autorisé par la CNIL.

En application des dispositions prévues à l'article 47 de cette même loi, le montant de la sanction pécuniaire doit être proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement.

Lors du premier manquement, ce montant ne peut excéder 150.000 euros. En cas de manquement réitéré dans un délai de cinq ans, ce montant peut être porté à 300.000 euros ou, s'agissant d'une entreprise, à 5% du chiffre d'affaires hors taxes du dernier exercice clos dans la limite de 300.000 euros.

Dans leur rapport d'information précité, nos collègues Anne-Marie Escoffier et Yves Détraigne avaient souligné que ce plafonnement légal des sanctions susceptibles d'être prononcées par la CNIL s'accompagnait d'une pratique empreinte d'une certaine timidité . Ils avaient relevé qu'en 2008, la CNIL avait prononcé onze sanctions pour un montant total de 137.100 euros. Par comparaison, l'agence espagnole de protection des données a prononcé, cette même année, 630 sanctions pour un total de 22,6 millions d'euros.

Dans le but de dissuader davantage les manquements aux obligations posées par la loi « informatique et libertés » du 6 janvier 1978 , l'article 12 de la proposition de loi tend à doubler le montant des sanctions pécuniaires susceptibles d'être prononcées par la CNIL :

- un premier manquement pourrait être sanctionné de 300.000 euros ;

- en cas de manquement réitéré dans un délai de cinq ans, ce montant pourrait atteindre 600.000 euros, ou, s'agissant d'une entreprise, 5% du chiffre d'affaires hors taxes du dernier exercice clos dans la limite de 600.000 euros.

Votre commission approuve cette démarche qui constituera un signal fort adressé aux responsables de traitements et incitera la CNIL à sanctionner plus sévèrement les manquements caractérisés aux dispositions portant sur la protection des données personnelles.

Votre commission a adopté l'article 12 sans modification .

Article 13 (art. 11, 50, 51, 52, 52-1 [nouveau] et 52-2 [nouveau] de la loi « informatique et libertés ») - Dispositions relatives aux actions juridictionnelles

Cet article tend à renforcer les possibilités d'actions juridictionnelles des individus et de la CNIL en cas de violation des dispositions de la loi « informatique et libertés » par un responsable de traitement.

A l'heure actuelle, les infractions aux dispositions de la loi « informatique et libertés » sont réprimées par les articles 226-16 à 226-24 du code pénal (voir annexe).

En outre, l'article 51 de la loi du 6 janvier 1978 définit un délit d'entrave à l'action de la CNIL , puni d'un an d'emprisonnement et de 15.000 euros d'amende.

Enfin, l'article 52 de la loi du 6 janvier 1978 organise les modalités d'intervention de la CNIL dans les procédures pénales relatives aux infractions précitées :

- le procureur de la République est tenu d'aviser le président de la CNIL des poursuites engagées sur le fondement des dispositions précitées et, le cas échéant, des suites qui leur sont données. Il l'informe également de la date et de l'objet de l'audience de jugement ;

- en outre, la juridiction d'instruction ou de jugement peut appeler le président de la CNIL (ou son représentant) à déposer ses observations ou à les développer oralement à l'audience.

L'article 13 de la proposition de loi tend à compléter et à renforcer ce dispositif.

Tout d'abord, il rappelle que, conformément aux dispositions de l'article 40 du code de procédure pénale, la CNIL est tenue d'informer sans délai le procureur de la République des infractions dont elle a connaissance ^{31

(
*
)} .

En outre, s'agissant des recours portés devant les juridictions civiles, cet article insère dans la loi « informatique et libertés » un nouvel article 52-1 ouvrant à toute personne lésée par un manquement aux dispositions de cette loi la possibilité de saisir, outre l'une des juridictions territorialement compétentes en vertu du code de procédure civile, la juridiction du lieu où il demeurait au moment de la conclusion du contrat ou de la survenance du fait dommageable.

A l'heure actuelle, l'article 42 du code de procédure civile dispose que, sauf disposition contraire, la juridiction territorialement compétente est celle où demeure le défendeur. Néanmoins, l'article 46 de ce même code permet au demandeur de saisir à son choix, outre la juridiction du lieu où demeure le défendeur :

- en matière contractuelle, la juridiction du lieu de la livraison effective de la chose ou du lieu de l'exécution de la prestation de service ;

- en matière délictuelle, la juridiction du lieu du fait dommageable ou celle dans le ressort de laquelle le dommage a été subi ;

- en matière mixte, la juridiction du lieu où est situé l'immeuble ;

- enfin, en matière d'aliments ou de contribution aux charges du mariage, la juridiction du lieu où demeure le créancier.

En matière délictuelle, la détermination de la juridiction du lieu du fait dommageable a été rendue plus complexe par l'essor d'Internet . En effet, en matière de diffamation, de contrefaçon ou de publicité illicite par Internet, par exemple, le dommage est potentiellement réalisé en tous lieux comportant un point d'accès au réseau. Ce constat a conduit la jurisprudence à estimer que, dans ce cas, le dommage est subi en tous lieux où les exemplaires contrefaits ^{32

(

*
)} ou les images télévisées interdites ^{33

(

*
)} ont été diffusées. Ces solutions, qui limitent considérablement la portée des règles de compétence territoriale, permettent de faciliter la répression de ces faits.

La rédaction retenue par la proposition de loi pour le nouvel article 52-1 s'inspire de l'article L. 141-5 du code de la consommation, introduit par le Sénat à l'occasion de l'examen de la loi n° 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures. Cet article dispose que « le consommateur peut saisir à son choix, outre l'une des juridictions territorialement compétentes en vertu du code de procédure civile, la juridiction du lieu où il demeurait au moment de la conclusion du contrat ou de la survenance du fait dommageable ».

Votre commission approuve ces dispositions qui permettront de faciliter l'accès au juge civil des individus qui s'estiment lésés par un manquement aux dispositions de la loi « informatique et libertés ».

Enfin, l'article 13 de la proposition de loi renforce les dispositions relatives aux observations de la CNIL devant les juridictions civiles, pénales ou administratives. Un nouvel article 52-2 , inséré dans la loi « informatique et libertés », disposerait que :

- les juridictions civiles, pénales ou administratives peuvent, d'office ou à la demande des parties, inviter la CNIL à déposer des observations écrites ou à les développer oralement à l'audience ;

- la CNIL peut elle-même déposer des observations écrites devant ces juridictions. En outre, elle serait obligatoirement entendue par ces juridictions lorsqu'elle en fait la demande.

Votre commission est favorable à ces dispositions, inspirées de celles qui ont été retenues pour la HALDE ^{34

(

*
)} et qui permettront de faciliter l'intervention de la CNIL devant l'ensemble des juridictions appelées à connaître d'affaires mettant en jeu la protection des données à caractère personnel. Comme le faisait observer Mme Marie-Anne Frison-Roche dans une étude réalisée en 2006 pour l'office parlementaire d'évaluation de la législation ^{35

(

*
)} , « les juridictions ne sont généralement pas spécialisées, ce qui accroît la difficulté de la tâche des magistrats. C'est pourquoi il est essentiel de prévoir que les autorités administratives indépendantes peuvent, sans exception, fournir des avis à des juridictions, ou interpréter le silence des textes dans ce sens. Le fait qu'il s'agisse d'avis techniques gratuits pour le service public de la justice n'est pas leur moindre qualité ».

L'attention de votre commission a toutefois été attirée sur les dispositions prévoyant que les observations écrites de la CNIL sont recevables quelle que soit la procédure applicable devant la juridiction saisie. Il lui est en effet apparu que de telles dispositions pourraient ne pas être pleinement compatibles avec les exigences du procès équitable . Tel serait par exemple le cas lorsque ces observations sont produites après la clôture du délai de l'instruction.

Suivant la proposition de son rapporteur, elle a adopté un amendement tendant à supprimer ces dispositions du texte de l'article 13.

Le II de l'article 13 de la proposition de loi procède aux coordinations rendues nécessaires par les modifications précitées. A cet effet, il modifie les dispositions de l'article 11 de la loi du 6 janvier 1978, qui porte sur les missions de la CNIL, afin de prendre en compte l'élargissement des possibilités ouvertes à la CNIL de présenter ses observations devant les juridictions.

Votre commission a adopté l'article 13 ainsi modifié .

Article 13 bis (nouveau) (art. 72 de la loi « informatique et libertés ») - Application outre-mer de la loi « informatique et libertés »

A l'initiative de votre rapporteur, votre commission a adopté un article additionnel tendant à modifier l'article 72 de la loi « informatique et libertés » afin de prévoir l'application de cette dernière à tout le territoire de la République, y compris outre-mer.

Dans sa rédaction actuelle, l'article 72 énumère les collectivités d'outre-mer qui se trouvent dans le champ de la loi. Il est apparu préférable à votre commission de prévoir une formule générale : « La présente loi est applicable sur l'ensemble du territoire de la République française. »

L'énumération n'apparaît pas, en effet, comme la formule la plus adaptée et la plus pérenne. A titre d'exemple, il n'est aujourd'hui plus nécessaire de prévoir expressément, comme le fait l'article 72 précité, l'application de la loi « informatique et libertés » à Mayotte dans la mesure où l'article L. 6113-1 du code général des collectivités territoriales définit un régime d'application de plein droit dans ce domaine dès lors qu'il ne figure pas parmi les compétences propres de cette collectivité.

Votre commission a adopté l'article 13 bis ainsi rédigé .

Article 14 - Entrée en vigueur de la loi

L'article 14 prévoit l'entrée en vigueur de la loi six mois après sa publication afin de laisser le temps aux entreprises et administrations de s'adapter aux nouvelles dispositions.

Votre commission a adopté l'article 14 sans modification .

* ¹¹ Selon les termes utilisés par Marina Teller, « Les difficultés de l'identité numérique : quelle qualification juridique pour l'adresse IP ? », Recueil Dalloz 2009, page 1988.

* ¹² Le G29 est un groupe de travail européen, créé par l'article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation, rassemblant les représentants de vingt-sept autorités indépendantes de protection des données nationales

* ¹³ Voir également TGI Paris, réf., 5 mars 2009, Roland Magdane c/ Youtube.

* ¹⁴ Relative à la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications et modifiant la directive 2002/58/CE.

* ¹⁵ Marina Teller, article précité.

* ¹⁶ Media Access Control Address. Une adresse MAC est l'identifiant unique de la carte physique indispensable pour la mise en réseau d'un ordinateur. Elle est spécifique à chaque constructeur.

* ¹⁷ Proposition de loi de simplification et d'amélioration de la qualité du droit, adoptée en 1ère lecture par l'Assemblée nationale le 2 décembre 2009, TA n° 376

* ¹⁸ Voir le rapport n° 1738 de Mme Delphine Batho et M. Jacques Alain Bénisti, au nom de la commission des Lois.

* ¹⁹ Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* ²⁰ Directive 95/46/CE du parlement européen et du conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

* ²¹ C'est-à-dire, rappelons-le, dans les structures où cinquante personnes ont soit directement accès au traitement, soit sont chargées de sa mise en oeuvre.

* ²² Décret n° 2009-1249 du 16 octobre 2009 portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique et décret n° 2009-1250 du 16 octobre 2009 portant création d'un traitement automatisé de données à caractère personnel relatif aux enquêtes administratives liées à la sécurité publique

* ²³ Proposition de loi de simplification et d'amélioration de la qualité du droit, adoptée en 1ère lecture par l'Assemblée nationale le 2 décembre 2009, texte n° 130 (2009-2010) transmis au Sénat le 3 décembre 2009

* ²⁴ Décret n°2007-914 du 17 mai 2007pris pour l'application du I de l'article 30 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* ²⁵ C'est-à-dire, comme indiqué précédemment, que la directive n'a pas tranché la question de savoir si la non-intervention de l'utilisateur vaut refus ou acceptation.

* ²⁶ Le G29 est un groupe de travail européen, créé par l'article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation, rassemblant les représentants de vingt-sept autorités indépendantes de protection des données nationales.

* ²⁷ CA Besançon, 31 janv. 2007 : D. 2007, p. 2771, obs. Lepage

* ²⁸ Notre collègue M. Alex Türk a présenté un amendement similaire qui a été retiré au profit de celui du Gouvernement qui prévoyait un régime juridique plus complet.

* ²⁹ CE référé, 19-02-2008, n° 311974, SOCIETE PROFIL FRANCE

* ³⁰ CE, 04-04-1999, n ° 182421 Groupement d'Intérêt Économique (G.I.E.) ODDO-FUTURES

* ³¹ Le second alinéa de l'article 40 du code de procédure pénale dispose que « toute autorité constituée, tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs ».

* ³² Voir par exemple, CA Paris, 14 ^ème chambre, 1 ^er mars 2000 ; TGI Nanterre, 8 décembre 1999.

* ³³ Cass., 2 ^ème chambre civile, 25 octobre 1995.

* ³⁴ L'article 13 de la loi n°2004-1486 du 30 décembre 2004 portant création de la haute autorité de lutte contre les discriminations et pour l'égalité dispose que : « les juridictions civiles, pénales ou administratives peuvent, lorsqu'elles sont saisies de faits relatifs à des discriminations, d'office ou à la demande des parties, inviter la haute autorité ou son représentant à présenter des observations. La haute autorité peut elle-même demander à être entendue par ces juridictions ; dans ce cas, cette audition est de droit ».

* ³⁵ Voir cette étude dans le rapport de notre collègue Patrice Gélard, « les autorités administratives indépendances : évaluation d'un objet juridique non identifié », tome II : annexes, Office parlementaire d'évaluation de la législation, rapport n° 404 (2005-2006).

Les thèmes associés à ce dossier

Page mise à jour le 3 avril 2023

Partager cette page