Allez au contenu, Allez à la navigation

Projet de loi relatif à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l'action publique locale : Différenciation, décentralisation, déconcentration et diverses mesures de simplification de l'action publique locale

30 juin 2021 : Différenciation, décentralisation, déconcentration et simplification - Différenciation, décentralisation, déconcentration et diverses mesures de simplification de l'action publique locale ( rapport - première lecture )

TITRE VII
MESURES DE SIMPLIFICATION DE L'ACTION PUBLIQUE

CHAPITRE IER
ACCÉLÉRATION DU PARTAGE DE DONNÉES
ENTRE ADMINISTRATIONS AU BÉNÉFICE DE L'USAGER

Article 50
Partage de données entre administrations

Cet article prévoit de modifier les règles applicables au partage de données entre administrations afin de rendre plus effectif le principe « dites-le nous une fois ».

L'article tend à ériger le partage de données en principe et plus en exception permise par décret, comme c'est le cas en l'état actuel du droit. Il tend également à permettre le partage de données afin d'informer un usager de l'existence de droits dont il ne se prévaut pas.

La commission des lois souscrit à cet objectif. Toutefois, les collectivités et leurs groupements faisant partie intégrante de l'administration, elle a tenu à protéger les plus petits d'entre eux en les dispensant de la transmission de données dans le cadre des échanges prévus par l'article.

Elle a également souhaité que le maire puisse bénéficier de ces échanges afin de remplir certaines des missions qui lui sont confiées en tant qu'autorité déconcentrée de l'État.

La commission a adopté l'article 50 ainsi modifié.

1. Le dispositif « dites-le nous une fois »

La volonté d'éviter aux usagers de transmettre une même pièce ou une même information à plusieurs administrations a émergé au milieu des années 1990. L'article 32 de la loi du 11 février 1994 prévoyait ainsi que « les données relatives aux rémunérations ou gains et aux effectifs, que les employeurs sont tenus de transmettre aux organismes gérant des régimes de protection sociale [...] font l'objet d'une seule déclaration établie sur un support unique et adressée à un unique destinataire »178(*).

Ce principe a, par la suite, été généralisé à l'ensemble des autorités administratives par l'article 16 A de la loi du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec l'administration créé en 2011179(*) avant d'être codifié aux articles L. 114-8 et suivants du code des relations entre le public et l'administration (CRPA).

L'article L. 114-8 fixe ainsi le principe selon lequel « les administrations échangent entre elles toutes les informations ou données strictement nécessaires pour traiter une demande présentée par le public ou une déclaration transmise par celui-ci en application d'un texte législatif ou réglementaire ». Il précise également que l'administration concernée doit faire connaître à la personne en cause la nature des informations sur lesquelles porte cet échange et quelle est l'administration qui les a fournies. Enfin, il est précisé que l'usager se voit informé de son droit d'accès et de rectification.

L'article L. 114-9 du même code renvoie à un décret d'application pour déterminer, notamment, les domaines et les procédures concernés par les échanges d'informations ou de données, la liste des administrations auprès desquelles la demande de communication s'effectue en fonction du type d'nformations ou de données ou le délai de conservation des informations et données applicable à chaque système d'échanges.

2. Les modifications proposées par le projet de loi

2.1. Le renforcement des échanges

Le projet de loi reprend le principe déjà existant à l'article L. 114-8 du CRPA selon lequel les administrations échangent des données pour traiter une demande mais supprime la nécessité d'un décret prévu à l'article L. 114-9 du même code pour fixer les procédures effectivement concernées (Cf. supra).

Il ne sera donc plus nécessaire de prévoir l'existence d'un échange par décret car celui-ci sera de droit entre toutes les administrations sous réserve, notamment, de l'article L. 114-10 du CRPA que le présent projet de loi ne tend pas à modifier et fixe une exception aux échanges d'informations entre administrations en raison de leur nature ou d'une « impossibilité technique ».

Afin de respecter le règlement général sur la protection des données180(*) (RGPD), l'article 50 du projet de loi tend, notamment, à prévoir que l'administration fait connaître à l'usager les informations qui lui ont été transmises par une autre administration et qu'elle l'informe de son droit d'accès et de rectification.

2.2. L'ouverture des échanges afin de détecter les bénéficiaires de droits

La principale nouveauté introduite par le projet de loi réside dans la possibilité, pour une administration, de solliciter des échanges d'informations afin d'informer une personne de ses droits au bénéfice éventuel d'une prestation. Le cas typique est celui d'une personne qui, bien qu'éligible à une aide, ne la sollicite pas car elle en ignore l'existence ou ne pense pas remplir les conditions pour en bénéficier.

Ces dispositions seraient accompagnées d'un certain nombre de garanties notamment introduites dans le projet de loi à la suite de l'avis rendu par la Commission nationale de l'informatique et des libertés (CNIL) le 25 mars 2021. Elles concernent, notamment, le fait que les données recueillies par une administration dans ce but ne puissent pas être réutilisées à d'autres fins, telles que la détection ou la sanction de fraudes. Elles concernent également le droit d'accès et de rectification de l'usager concerné ou la destruction des données s'il devait s'avérer que l'usager n'a finalement pas droit à la prestation ou l'avantage dont la recherche a motivé l'échange.

3. La position de la commission

La commission des lois est favorable aux dispositions introduites par le présent projet de loi mais ses rapporteurs sont conscients que, au-delà du principe posé par la loi, le bon fonctionnement du dispositif sera largement tributaire de la qualité des dispositions réglementaires à venir.

La principale préoccupation des rapporteurs a été d'apporter de la sécurité aux collectivités territoriales et à leurs groupements. Les auditions de la direction interministérielle du numérique (DINUM) et de la direction interministérielle de la transformation publique (DITP) ont révélé que la place envisagée pour les collectivités dans le système d'échange de données était celle de réceptrices plus que celle d'émettrices. Toutefois, les collectivités territoriales et leurs groupements sont des administrations à part entière au sens du 1° de l'article L. 100-3 CRPA. Par conséquent le principe d'échange généralisé prévu à l'article L. 114-8 s'appliquerait en principe à elles, de plein droit.

Or, les plus petites d'entre elles ne disposent pas des moyens humains et matériels pour fournir des données et des informations dans le cadre de ces échanges. Certes, l'article L. 114-10 précité permettrait, à ce titre, de les préserver mais il apparaît aux rapporteurs que cette garantie n'est pas suffisante. C'est la raison pour laquelle la commission des lois a adopté l'amendement COM 1095 de ses rapporteurs qui tend à fixer un seuil de 10 000 habitants en dessous duquel les collectivités et leurs groupements ne pourraient être tenus de fournir des informations dans le cadre de ces échanges.

Cet amendement tend également à ce que le Conseil national d'évaluation des normes émette un avis sur le projet de décret qui sera pris en application du présent article afin de garantir son adéquation aux obligations et contraintes spécifiques des collectivités ou de leurs groupements.

Enfin, les rapporteurs ont constaté que, en tant qu'autorité déconcentrée de l'État, le maire est parfois tenu d'établir des recensements ou des remontées d'informations au profit d'administrations centrales alors même que lui ou sa commune ne détiennent pas les informations nécessaires. C'est par exemple le cas de l'obligation faite au maire, à l'article L. 131-6 du code de l'éducation, de dresser la liste de tous les enfants résidant dans sa commune et qui sont soumis à l'obligation scolaire alors même que les moyens qui lui sont donnés par ce même article ne lui permettent pas nécessairement d'atteindre cet objectif.

La commission des lois a donc adopté les amendements identiques COM-1094 et COM-617, à l'initiative de ses rapporteurs et d'André Reichardt, tendant à apporter une réponse à cette situation en permettant aux maires de recueillir les informations manquantes auprès des administrations qui les détiennent.

La commission a adopté l'article 50 ainsi modifié.

Article 51
Simplification des procédures de mise en demeure et de sanction
de la Commission nationale de l'informatique et des libertés

Alors que la Commission nationale de l'informatique et des libertés (CNIL) doit faire face, depuis l'entrée en vigueur du règlement général sur la protection des données (RGPD), à une forte augmentation du nombre de plaintes qu'elle a à traiter, la rigidité des procédures actuelles ne lui permet de prononcer qu'un nombre réduit de mesures correctrices ou de sanctions.

Dans ce contexte, l'article 51 vise à simplifier et à fluidifier la correction et la répression des manquements au RGPD en conférant de nouvelles prérogatives au président de la Commission et au président de la formation restreinte, en allégeant la procédure de mise en demeure et en créant une procédure de sanction simplifiée pour réprimer les manquements d'un faible niveau de gravité.

La commission, consciente de la nécessité d'une adaptation des procédures devant la CNIL face à la montée en puissance du contentieux, a adopté l'article 51 en y apportant des ajustements ponctuels permettant d'assurer l'opérationnalité du dispositif.

1. La procédure répressive devant la CNIL

Conformément aux dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL est l'autorité administrative compétente pour sanctionner les manquements aux règles relatives à la protection des données à caractère personnel fixées par le règlement général (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des données (RGPD). La procédure fait intervenir, selon la gravité du manquement, le président de la CNIL ou sa formation restreinte, qui ont la charge de prononcer des mesures correctrices ou des sanctions181(*).

1.1. Les prérogatives du président de la CNIL

Le président de la CNIL est compétent pour prononcer des mesures correctrices à l'encontre du responsable de traitement concerné dans deux cas de figure limitativement énumérés par l'article 20 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :

lorsqu'une opération envisagée de traitement de données est susceptible de violer les règles fixées par le RGPD : le président de la CNIL peut alors prononcer un avertissement ;

lorsque les obligations résultant du RGPD ne sont pas respectées et que le manquement constaté est susceptible de faire l'objet d'une mise en conformité : il peut prononcer une mise en demeure, pouvant porter sur quatre obligations limitativement énumérées182(*).

Dans le second cas de figure, le délai de mise en conformité est fixé par le président de la CNIL. Il ne peut, sauf urgence, être inférieur à dix jours ni excéder six mois183(*). La loi prévoit également qu'il puisse être fixé à vingt-quatre heures pour les cas d'extrême urgence.

En l'état actuel du droit, le président de la CNIL est tenu de procéder systématiquement au contrôle de la mise en conformité et, le cas échéant, de clôturer la mise en demeure. Cette obligation de clôture s'applique sans considération du fait que le président de la CNIL a adressé, ou non, une demande de justification de la mise en conformité.

I et II de l'article 20 de la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés (I et II)

I.- Le président de la Commission nationale de l'informatique et des libertés peut avertir un responsable de traitement ou son sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi.

II.- Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe :

1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;

2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;

3° A l'exception des traitements qui intéressent la sûreté de l'État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;

4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données.

Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises.

Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d'extrême urgence.

Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.

1.2. Les prérogatives de la formation restreinte

Lorsqu'un manquement aux règles fixées par le RGPD est constaté, il appartient au président de la CNIL, le cas échéant après avoir formulé un avertissement ou une mise en demeure, de saisir la formation restreinte en vue du prononcé de l'une des sanctions énumérées par le III de l'article 20 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés184(*). Celles-ci vont du simple rappel à l'ordre à une interdiction définitive du traitement. Hormis les cas où l'État est le responsable du traitement, une amende administrative peut également être prononcée par la formation restreinte, plafonnée à 2 % du chiffre d'affaire annuel mondial total pour une entreprise et à 10 millions d'euros dans les autres cas. Par ailleurs, la formation restreinte peut également rendre les sanctions qu'elle prononce publiques.

Pour les besoins de l'instruction, un rapporteur est nommé par le président de la commission parmi les membres de la CNIL n'appartenant pas à la formation restreinte. Ce dernier occupe un rôle actif tout au long de la procédure. Avec l'assistance des services administratifs de la commission, il mène les diligences utiles à la constitution d'un rapport d'instruction, le cas échéant en auditionnant le responsable de traitement concerné. Il peut également présenter des observations orales au cours de la séance de la formation restreinte mais ne participe pas à son délibéré.

III de l'article 20 de la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés (III)

III. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :

1° Un rappel à l'ordre ;

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l'État, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;

3° A l'exception des traitements qui intéressent la sûreté de l'État ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en oeuvre pour le compte de l'État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ;

4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;

5° A l'exception des traitements qui intéressent la sûreté de l'État ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en oeuvre pour le compte de l'État, la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ;

7° A l'exception des cas où le traitement est mis en oeuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.

Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement.

L'article 51 du projet de loi : simplifier les procédures de correction et de sanction des manquements au RGPD

2. Le contexte : une augmentation importante des plaintes depuis l'entrée en vigueur du RGPD

Le nombre de plaintes adressées à la CNIL pour des infractions aux règles relatives à la protection des données à caractère personnel connaît une forte croissance depuis l'entrée en vigueur du RGPD en mai 2018. Pour l'année 2020, 13 585 plaintes ont été enregistrées, soit une augmentation de 62,5 % depuis cette date185(*). En 2020, le nombre de sanctions et mesures correctrices prononcées rapporté au nombre de plaintes demeure faible. Sur l'exercice, la présidente de la CNIL a formulé 49 mises en demeure, 38 rappels à l'ordre et deux avertissements, tandis que la formation restreinte a prononcé 14 sanctions, incluant 11 amendes pour un montant cumulé de 138 489 300 euros186(*).

La lourdeur et la rigidité de la procédure répressive devant la CNIL expliquent, pour partie, ce faible nombre de mesures correctrices et de sanctions. En particulier, le traitement des dossiers d'un faible niveau de gravité et ne présentant pas de difficultés juridiques est soumis aux mêmes exigences procédurales que les affaires de grande ampleur.

Ainsi, l'obligation de clôture des mises en demeure suppose des contrôles approfondis de la mise en conformité, que la commission n'est pas en mesure de réaliser systématiquement. Si la procédure devant la formation restreinte se prête, quant à elle, particulièrement aux affaires de grande ampleur, il n'en va pas de même pour les petits litiges, pour lesquels la tenue de deux cycles contradictoires et d'une séance apparaît disproportionnée. Faute de moyens humains en nombre suffisant, cet état de fait conduit fréquemment la CNIL à ne pas enclencher de poursuites pour des manquements qui mériteraient pourtant une mesure correctrice ou une sanction modérée.

2.1. Le dispositif envisagé par l'article 51 du projet de loi

a) L'extension et la simplification des prérogatives répressives du président de la CNIL

L'article 51 vise, premièrement, à étendre les prérogatives propres du président de la CNIL afin de lui confier la possibilité de procéder à un rappel aux obligations légales, lorsqu'un manquement aux règles de la protection des données à caractère personnel est avéré et est qu'il est susceptible de faire l'objet d'une mise en conformité,

Deuxièmement, le dispositif entend alléger la procédure de mise en demeure par le président de la CNIL en limitant l'obligation de clôture aux seuls cas où il a formulé une demande de justification de la mise en conformité.

b) La création d'une prérogative propre du président de la formation restreinte

L'article 51 prévoit, ensuite, de confier une prérogative propre au président de la formation restreinte, consistant à émettre vis-à-vis du responsable de traitement concerné une injonction de produire les éléments demandés par la commission ou, le cas échéant, à prononcer un non-lieu. Cette faculté est néanmoins limitée aux cas où une précédente mise en demeure n'a pas produit d'effet et où, en conséquence, la formation restreinte a été saisie. Elle pourrait, le cas échéant, être assortie d'une astreinte dont le montant maximal serait porté à 100 euros par jour de retard.

Dans la mesure où la formation restreinte ne se voit plus saisie en vue du prononcé d'une sanction formelle et que le président de la CNIL peut librement décider de clôturer la mise en demeure, il n'est pas apparu utile de conférer au président de la CNIL la faculté de prononcer un non-lieu.

c) La création d'une procédure simplifiée de sanction

L'article 51 prévoit ensuite la création d'une procédure simplifiée de sanction pour les infractions d'un niveau de gravité modéré. Dans ce cas de figure, le président de la commission pourrait saisir le président de la formation restreinte, ou tout autre de ses membres que celui-ci désignerait, qui statuerait seul et au terme d'une procédure simplifiée. La tenue d'une audience ne serait notamment pas obligatoire. En outre, des agents de la commission, désignés par son président, auraient la charge d'établir le rapport d'instruction.

Cette procédure simplifiée serait réservée aux affaires d'intensité modérée, répondant à deux critères cumulatifs :

le caractère mesuré des mesures correctrices et des sanctions potentielles : celles-ci seraient limitées au rappel à l'ordre, à une injonction de mise en conformité, potentiellement assortie d'une astreinte ne pouvant excéder 100 euros par jour de retard et à une amende administrative limitée à 20 000 euros maximum. Le cas échéant, le juge pénal pourrait ordonner que le montant de cette amende administrative s'impute sur l'amende administrative qu'il prononce ;

l'absence de difficultés juridiques, compte tenu d'une jurisprudence établie, de la multiplicité des précédents ou de la simplicité des questions de droit et de fait.

Le dispositif intègrerait la possibilité pour le président de la formation restreinte, pour tout motif, de refuser ou d'interrompre le recours à la procédure simplifiée pour renvoyer l'affaire à la formation de droit commun.

Plusieurs garanties sont prévues à destination du responsable de traitement concerné, parmi lesquelles l'impossibilité de rendre la sanction publique et la possibilité pour ce dernier de présenter des observations écrites ou de demander à être entendu.

d) L'application du dispositif aux territoires ultramarins

Enfin, le projet de loi prévoit l'actualisation de l'article 125 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin de rendre le dispositif applicable en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises.

3. La position de la commission

3.1. Sur l'attribution au président de la CNIL d'une faculté de rappel aux obligations légales

La commission considère qu'attribuer une faculté de rappel aux obligations légales au président de la CNIL élargirait utilement les leviers à la disposition de ce dernier pour faire cesser des manquements ponctuels dont le faible niveau de gravité ne justifie pas de prononcer une mise en demeure ou d'engager des poursuites devant la formation restreinte. Une telle mesure est ainsi particulièrement adaptée vis-à-vis des manquements terminés ou n'appelant pas d'action de mise en conformité de la part de l'organisme en cause.

3.2. Sur l'allègement de la procédure de mise en demeure

Si la commission n'est pas opposée à une évolution de la procédure de mise en demeure, elle estime que celle-ci doit permettre de concilier deux impératifs : d'une part alléger le formalisme de la procédure de manière à faciliter son utilisation et, d'autre part, préserver le caractère contraignant de la mise en demeure. La rédaction proposée de l'article 51 ne satisfait pas complètement cet équilibre dans la mesure où elle risque de priver de toute efficacité la mise en demeure, dès lors que le responsable ne traitement mis en cause ne serait pas systématiquement tenu de justifier de la mise en conformité et que celle-ci ne ferait l'objet d'un contrôle qu'au cas par cas.

La commission a entendu instaurer, par l'adoption d'un amendement COM-1111 des rapporteurs, une voie médiane, d'une part, en retirant l'obligation de clôture systématique des mises en demeure et, d'autre part, en imposant aux responsables de traitement concernés de produire, à l'expiration du délai fixé, les éléments justifiant de la mise en conformité. L'avantage d'un tel dispositif est qu'il permet d'opérer une réelle gradation entre la nouvelle faculté de rappel aux obligations légales du président de la CNIL, plus souple d'utilisation et adaptée aux manquements d'un faible niveau de gravité, et la mise en demeure, dès lors que le responsable de traitement serait dans ce second cas tenu de produire les éléments justifiant de la mise en conformité. Avec ce dispositif, le président de la CNIL conserverait la possibilité, lorsqu'il le juge opportun, d'opérer un contrôle de la mise en conformité ou de clôturer la procédure, et ce sans qu'il soit nécessaire de l'inscrire dans la loi. L'unique exception concerne les cas où la mise en demeure a été rendue publique, pour lesquels le président de la CNIL demeure tenu de procéder à la clôture.

Par ailleurs, la rédaction adoptée alignerait clairement le délai de mise en conformité sur celui de justification de la mise en conformité alors que la rédaction initiale de l'article 51 semblait laisser ouverte la possibilité d'une dissociation entre les deux. La commission a également décidé de conserver le critère de l'extrême urgence, et non de l'urgence, pour décider de la mise en place d'un délai raccourci de vingt-quatre heures pour la mise en conformité.

3.3. Sur l'extension des prérogatives du président de la formation restreinte

La commission a estimé nécessaire l'introduction une possibilité d'injonction sous astreinte lorsqu'une mise en demeure est restée infructueuse. Afin de ne pas complexifier et rigidifier excessivement la procédure, la commission a toutefois entendu confier cette prérogative directement à l'autorité émettrice de la mise en demeure, à savoir le président de la CNIL (même amendement COM-1111 des rapporteurs). La rédaction initiale de l'article 51 impliquait, en effet, la création superflue d'une procédure ad hoc de saisine du président de la formation restreinte par le président de la CNIL. À titre de garanties, il est précisé que le responsable de traitement mis en cause est invité à présenter ses observations et le montant total cumulé de l'astreinte est plafonné.

La commission a estimé nécessaire l'introduction une possibilité d'injonction sous astreinte lorsqu'une mise en demeure est restée infructueuse. Afin de ne pas complexifier et rigidifier excessivement la procédure, la commission a toutefois entendu confier cette prérogative directement à l'autorité émettrice de la mise en demeure, à savoir le président de la CNIL (même amendement COM-1111 des rapporteurs). La rédaction initiale de l'article 51 impliquait, en effet, la création superflue d'une procédure ad hoc de saisine du président de la formation restreinte par le président de la CNIL. À titre de garanties, il est précisé que le responsable de traitement mis en cause est invité à présenter ses observations et le montant total cumulé de l'astreinte est plafonné.

3.4. Sur la création d'une procédure simplifiée

La commission s'est déclarée favorable à la création d'une procédure simplifiée, assimilable à une procédure de juge unique, visant à réprimer les manquements d'un niveau de gravité modéré. Néanmoins, elle a entendu renforcer les garanties et exigences applicables sur trois points (amendement COM-1112 des rapporteurs).

Tout d'abord, elle a inscrit à l'article 51 la possibilité explicite pour le responsable de traitement mis en cause de se faire représenter ou assister au cours de la procédure simplifiée.

La commission a, ensuite, introduit plusieurs garanties s'agissant de l'exercice des missions de rapporteur par des agents de la CNIL pour la mise en oeuvre de cette procédure simplifiée. Une obligation d'habilitation de ces agents a ainsi été créée. Pour ce faire, les dispositions figurant à l'article 10 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et imposant une habilitation aux agents pour la participation à des opérations de contrôle ont été étendues. Le texte adopté par la commission mentionne également explicitement le fait que les agents ainsi désignés par le président de la CNIL sont placés sous son autorité directe. Il prévoit, par ailleurs, l'adoption de mesures règlementaires d'application intégrant des dispositions relatives à la prévention des conflits d'intérêt pour les agents désignés rapporteurs.

Enfin, la commission a entendu préciser les modalités d'information des membres de la formation restreinte des décisions prises selon la procédure simplifiée, lesquelles leur seront communiquées dès la plus proche réunion de la formation restreinte.

La commission a adopté l'article 51 ainsi modifié.

Article 52
Accélérer la mise en place des Bases Adresses Locales utiles
pour le déploiement du très haut débit

L'article 52 du projet de loi a pour objet de consacrer explicitement la compétence du conseil municipal en matière de dénomination des voies et d'attribuer aux communes le rôle de garantir l'accès aux données relatives à la dénomination des voies et à la numérotation des maisons.

La commission a considéré que cette première précision n'était pas nécessaire dès lors que la compétence du conseil municipal dans ce domaine est déjà établie par une jurisprudence constante. En outre, elle a estimé que les difficultés de l'État à alimenter la Base Adresse Nationale (BAN) ne justifient pas de contraindre l'ensemble des communes à procéder, d'une part, à la dénomination des voies et à la numérotation des maisons et à garantir, d'autre part, l'accès à ces informations sous un format imposé.

La commission a supprimé l'article 52.

1. La répartition des compétences en matière de dénomination des voies et de numérotation des maisons

La compétence du conseil municipal pour la dénomination des voies est un principe ancien, qui fait l'objet d'une jurisprudence constante du juge administratif. Ainsi que le rappelle le Conseil d'État dans son avis sur le projet de loi, elle est rattachée à la clause de compétence générale des communes qui découle de l'article 61 de la loi du 5 avril 1884, aujourd'hui codifié à l'article L. 2121-29 du code général des collectivités territoriales, lequel dispose que : « Le conseil municipal règle par ses délibérations les affaires de la commune ». Cette attribution du conseil municipal a, en outre, été régulièrement confirmée par la jurisprudence du Conseil d'État187(*).

La numérotation des maisons relève, quant à elle, du pouvoir de police du maire. Le premier alinéa de l'article L. 2213-28 du code général des collectivités territoriales dispose que « dans toutes les communes où l'opération est nécessaire, le numérotage des maisons est exécuté pour la première fois à la charge de la commune ». Il revient dès lors au maire de procéder aux opérations d'attribution ou de modification des numéros, dès lors que celles-ci reposent sur des motifs d'intérêt général. Si le terme de « maisons » est utilisé dans le code général des collectivités territoriales, cette prérogative du maire ne se limite pas aux seules maisons à caractère d'habitation mais s'étend à l'ensemble des catégories de locaux, par exemple les immeubles188(*) ou les bâtiments à caractère agricole189(*).

En l'état actuel du droit, seules les communes de plus de 2 000 habitants, soit environ 15 % des communes représentant 77 % de la population190(*), sont soumises à une obligation indirecte de dénomination des voies et de numérotation des maisons. Le décret n° 94-1112 du 19 décembre 1994 relatif à la communication au centre des impôts foncier ou au bureau du cadastre de la liste alphabétique des voies de la commune et du numérotage des immeubles impose, ainsi, aux maires de ces communes de notifier ces informations aux services administratifs précités.

En complément de cette obligation de transmission aux services fiscaux ou du cadastre pour les communes de plus de 2 000 habitants, l'ensemble des communes peuvent prendre l'initiative d'organiser l'accès à ces informations en alimentant des bases publiques de référence des données voies-adresses, les Bases Adresses Locales (BAL). Ces BAL viennent, ensuite, alimenter la Base Adresse Nationale (BAN), laquelle est une composante du service public des données de référence institué par l'article L. 321-4 du code des relations entre le public et l'administration.

2. Les dispositions du projet de loi

L'article 52 du projet de loi entend modifier l'article L. 2121-30 du code général des collectivités territoriales afin, d'une part, d'inscrire explicitement dans la loi la compétence du conseil municipal en matière de dénomination des voies et, d'autre part, de confier aux communes le rôle de garantir l'accès à ces informations, ainsi qu'à celles relatives à la numérotation des maisons, dans des conditions définies par un décret.

Cette dernière proposition vise à faciliter la constitution, par l'Institut national de l'information géographique et forestière (IGN), d'une BAN gratuite et unifiée, rassemblant des informations voies-adresses consolidées et utiles tant aux citoyens, dès lors qu'elles sont utilisées par les systèmes de géo-positionnement par satellite, qu'aux services de secours ou aux entreprises. À l'heure actuelle, l'absence d'obligation de transmission de ces informations pour les plus petites communes et l'éclatement des canaux de transmission se traduisent par la production de données incomplètes ou dégradées. Cela s'explique également par le fait que, en l'absence de BAL, la BAN est alimentée par une agrégation des données disponibles, lesquelles ne disposent pas d'un niveau de fiabilité équivalent à celles produites par les communes.

Cette disposition s'inscrit, par ailleurs, dans l'objectif de déploiement du très haut débit sur l'ensemble du territoire, qui pourrait être en partie satisfait par l'existence d'une base voie-adresse à la fois plus complète et plus fiable.

Concrètement, la garantie de l'accès aux données voies-adresses serait mise en place par les communes à travers la généralisation des BAL, dont l'alimentation constituerait une formalité libératoire se substituant à l'ensemble des canaux actuels de transmission de ces informations.

3. La position de la commission

3.1. Sur la compétence du conseil municipal pour la dénomination des voies

Il ressort des dispositions de l'article L. 2121-29 du code général des collectivités territoriales et de la jurisprudence du Conseil d'État précitée que la compétence du conseil municipal en matière de dénomination des voies est clairement établie. Dès lors, son inscription dans la loi serait dépourvue de toute portée normative réelle et apparaît, en conséquence, inopportune.

3.2. Sur la garantie de l'accès aux informations relatives à la dénomination des voies et à la numérotation des maisons

Les dispositions du projet de loi étendraient d'abord indirectement à l'ensemble des communes, et non plus seulement à celles de moins de 2 000 habitants, l'obligation de dénomination des voies et de numérotation des immeubles. La création d'une telle contrainte doit être envisagée avec la plus grande prudence, dès lors qu'elle revient à faire peser une charge nouvelle sur les finances des collectivités concernées. Si celle-ci serait probablement mesurée compte tenu de la taille restreinte des communes impliquées, son ampleur exacte ne peut, compte tenu des informations disponibles, être évaluée avec certitude.

L'obligation de garantir l'accès à ces données sous un format imposé, en l'espèce les BAL, engendrerait, ensuite, une contrainte nouvelle pour l'ensemble des communes qui n'ont pas usé de leur faculté d'alimenter ces bases de données. Outre le fait qu'elle pourrait susciter des difficultés quant au principe de libre administration des collectivités territoriales, une telle option apparaît inadéquate et disproportionnée eu égard aux objectifs mêmes du projet de loi et à la possibilité de les satisfaire autrement, par la voie du droit commun du traitement de données. La commission rejoint, en ce sens, les conclusions du Conseil d'État lorsqu'il estime dans son avis sur le projet de loi que « les difficultés qu'éprouve le Gouvernement à constituer une base adresse pour les opérateurs de réseaux qui, selon l'étude d'impact, justifient l'adoption de ces dispositions, doivent pouvoir être traitées par le droit commun des traitements de données ».

Enfin, la mise en place de cette obligation apparaît d'autant moins souhaitable que l'impact sur les finances communales de la charge qui en résulterait nécessairement ne peut, en l'absence de toute étude préalable, être estimé de manière certaine. Ainsi que le souligne le Conseil d'État dans son avis sur le projet de loi, « la nécessité de contraindre les collectivités territoriales à transmettre ces informations sous un format imposé par un traitement national devrait faire l'objet d'une analyse préalable avant toute éventuelle rédaction de celles des dispositions qui pourraient alors paraître nécessaire ».

La commission a supprimé l'article 52.


* 178 I de l'article 32 de la loi n° 94-126 du 11 février 1994 relative à l'initiative et à l'entreprise individuelle.

* 179 L'article 16 A de la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec l'administration a été introduit par l'article 4 de la loi n° 2011-525 du 17 mai 2011 de simplification et d'amélioration de la qualité du droit.

* 180 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

* 181 Le président de la commission est nommé par décret du Président de la République, tandis que la formation restreinte est composée d'un président et de cinq autres membres élus par les membres de la commission en son sein (article 9 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés).

* 182 Cf. Encadré.

* 183 Article 39 du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* 184 Cf. Encadré.

* 185 CNIL, Rapport d'activité pour 2020.

* 186 Idem.

* 187 Conseil d'État, 19 juin 1974, n° 88 410, sieur Broutin ; Conseil d'État, 26 mars 2012, n° 336 459, commune de Vergèze.

* 188 Voir Cour administrative d'appel de Nancy, 29 octobre 2020, n° 19NC01138.

* 189 Voir Cour administrative d'appel de Douai, 24 novembre 2016, n° 15DA00426.

* 190 Les chiffres-clés des collectivités locales, DGCL, Edition 2020.