Projet de loi relatif à la protection des données personnelles

Enregistré à la Présidence du Sénat le 18 avril 2018

(1) Cette commission est composée de : M. Philippe Bas , président ; MM. François Pillet, Jean-Pierre Sueur, François-Noël Buffet, Jacques Bigot, Mmes Catherine Di Folco, Sophie Joissains, M. Arnaud de Belenet, Mme Nathalie Delattre, MM. Pierre-Yves Collombat, Alain Marc , vice-présidents ; M. Christophe-André Frassa, Mme Laurence Harribey, MM. Loïc Hervé, André Reichardt , secrétaires ; Mme Esther Benbassa, MM. François Bonhomme, Philippe Bonnecarrère, Mmes Agnès Canayer, Maryse Carrère, Josiane Costes, MM. Mathieu Darnaud, Marc-Philippe Daubresse, Mme Jacky Deromedi, MM. Yves Détraigne, Jérôme Durain, Mme Jacqueline Eustache-Brinio, MM. Jean-Luc Fichet, Pierre Frogier, Mmes Françoise Gatel, Marie-Pierre de la Gontrie, M. François Grosdidier, Mme Muriel Jourda, MM. Patrick Kanner, Éric Kerrouche, Jean-Yves Leconte, Henri Leroy, Mme Brigitte Lherbier, MM. Didier Marie, Hervé Marseille, Jean Louis Masson, Mme Marie Mercier, MM. Thani Mohamed Soilihi, Alain Richard, Simon Sutour, Mmes Lana Tetuanui, Catherine Troendlé, M. Dany Wattebled .

LES CONCLUSIONS DE LA COMMISSION DES LOIS

Réunie le 18 avril 2018, sous la présidence de M. Philippe Bas, président , la commission des lois a examiné le rapport de Mme Sophie Joissains, rapporteur , et établi son texte, en nouvelle lecture, sur le projet de loi n° 425 (2017-2018) relatif à la protection des données personnelles , adopté par l'Assemblée nationale en nouvelle lecture.

Ce texte vise à mettre la loi Informatique et libertés en conformité avec deux importants textes européens : le règlement général sur la protection des données , directement applicable à partir du 25 mai 2018 , et une directive spécifique aux traitements mis en oeuvre en matière policière et judiciaire qui doit, elle, être transposée avant le 6 mai 2018 .

En première lecture, le Sénat avait approuvé les grandes orientations du projet de loi initial et la plupart des apports de l'Assemblée nationale, sauf exceptions ponctuelles ; il avait aussi amélioré le texte, s'attachant, d'une part, à mieux accompagner les petites structures (TPE-PME et collectivités territoriales) dans la mise en oeuvre de leurs nouvelles obligations et, d'autre part, à renforcer la protection des droits et libertés de nos concitoyens .

Malgré deux rencontres préparatoires entre rapporteurs ayant permis, à l'issue de près de trois heures de discussions et au prix de concessions réciproques, de proposer un compromis global susceptible d'être accepté par le Sénat, le rapporteur s'est heurtée au refus de toute concession de la part des députés du groupe majoritaire à l'Assemblée nationale. La commission mixte paritaire réunie le vendredi 6 avril 2018 a logiquement constaté qu'elle ne pouvait élaborer un texte commun.

En dépit de quelques accords ponctuels sur des sujets techniques, l'Assemblée nationale a rétabli pour l'essentiel, lors de la nouvelle lecture, le texte qu'elle avait adopté en première lecture, sans tenir compte des apports du Sénat.

La commission des lois a adopté en nouvelle lecture un total de 40 amendements , dont 37 présentés par son rapporteur. Elle est ainsi revenue à la position exprimée par le Sénat en première lecture, tout en retenant les modifications apportées par l'Assemblée nationale qui lui ont paru acceptables.

Concernant les collectivités territoriales , face à l'incompréhensible refus des députés de prendre pleinement en compte leurs spécificités, la commission a rétabli l'affectation du produit des amendes prononcées par la CNIL au financement de mesures d'accompagnement et maintenu la dotation communale et intercommunale pour la protection des données à caractère personnel ; souhaitant réduire l'aléa financier pesant sur les collectivités territoriales, elle a également supprimé, comme pour l'État, la faculté pour la CNIL de leur imposer des amendes et astreintes administratives.

Concernant la saisine parlementaire de la CNIL pour avis sur certaines propositions de loi , la commission des lois a rétabli le principe d'une consultation facultative par les seuls présidents des assemblées parlementaires et en a élargi le champ à toute disposition d'une proposition de loi.

Concernant les traitements en matière pénale , refusant d'abaisser le niveau de protection de la vie privée de nos concitoyens, elle a rétabli plusieurs garanties essentielles supprimées par les députés (régime d'autorisation préalable par la CNIL des fichiers en matière pénale, fichiers en matière pénale mis en oeuvre par des personnes morales de droit privé, encadrement de l' open data des décisions de justice, droit à l'information sur les recours juridictionnels, encadrement du délai de réponse à l'exercice de certains droits, obligations de résultat et non de moyens) et assuré une stricte constitutionnalité du régime de traitement d'antécédents « TAJ ».

Concernant les décisions automatisées et les algorithmes , elle est revenue sur la suppression injustifiée de plusieurs garde-fous (limitation de leur usage, dans les cas où l'administration se repose entièrement sur eux, aux seules décisions individuelles qui n'appellent aucun pouvoir d'appréciation ; renforcement et application immédiate de la sanction de nullité des décisions en cas d'omission des informations obligatoires) et d'importantes garanties de transparence, notamment pour « Parcoursup ».

Concernant l' action de groupe , qu'elle approuve dans son principe, y compris pour la réparation des dommages, la commission a prévu par prudence un report de deux ans de l'entrée en vigueur de cette nouvelle procédure et l'agrément préalable obligatoire des associations, afin d'empêcher les éventuels abus et de laisser un peu de temps aux petites entreprises et aux collectivités territoriales avant de les exposer à un tel risque contentieux.

Concernant la préservation du libre choix dans l'accès aux services (comme les moteurs de recherche ) sur les terminaux mobiles , d'une part, elle a limité les exceptions dont peuvent se prévaloir les responsables de traitement pour démontrer que les contrats conclus concernant des équipements ou services internet ne portent pas atteinte au consentement de l'utilisateur et, d'autre part, elle a rétabli la prohibition par les outils du droit de la concurrence de l'exploitation abusive d'une position dominante sur un marché des services de communication au public en ligne qui subordonnerait la vente d'un terminal à l'achat d'un service.

Elle a également rétabli son texte concernant plusieurs autres divergences ponctuelles d'inégale importance ( objets connectés , charte de déontologie , âge du consentement autonome au traitement des données des mineurs , chiffrement de bout en bout...).

La commission des lois a adopté le projet de loi ainsi modifié.