ARTICLE 28 DE LA LOI N° 78-17 DU 6 JANVIER 1978
M. le président. L'amendement n° 52, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Rédiger comme suit la dernière phrase du I du texte proposé par cet article pour l'article 28 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« Toutefois, ce délai peut être renouvelé une fois sur décision motivée du président. »
La parole est à M. le rapporteur.
M. Alex Turk, rapporteur. Il s'agit d'un amendement de coordination.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Favorable.
M. le président. Je mets aux voix l'amendement n° 52.
(L'amendement est adopté.)
M. le président. Je mets aux voix, modifié, le texte proposé pour l'article 28 de la loi n° 78-17 du 6 janvier 1978.
(Ce texte est adopté.)
ARTICLE 29 DE LA LOI N° 78-17 DU 6 JANVIER 1978
M. le président. Je mets aux voix le texte proposé pour l'article 29 de la loi n° 78-17 du 6 janvier 1978.
(Ce texte est adopté.)
ARTICLE 30 DE LA LOI N° 78-17 DU 6 JANVIER 1978
M. le président. L'amendement n° 53, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Rédiger comme suit le troisième alinéa (2°) du I du texte proposé par cet article pour l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« 2° La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 25, 26 et 27, la description générale de ses fonctions ; »
La parole est à M. le rapporteur.
M. Alex Türk, rapporteur. Il s'agit d'un amendement rédactionnel.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Favorable.
M. le président. Je mets aux voix l'amendement n° 53.
(L'amendement est adopté.)
M. le président. L'amendement n° 54, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Rédiger comme suit le début du neuvième alinéa (8°) du I du texte proposé par cet article pour l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« La fonction de la personne ou le service auprès duquel (...) »
La parole est à M. le rapporteur.
M. Alex Türk, rapporteur. L'article 30 présenté par le projet de loi fixe le contenu des demandes transmises par les responsables de traitements à la CNIL. Ces responsables doivent notamment préciser l'identité et l'adresse de la personne ou du service auprès duquel s'exercera le droit d'accès, qui est l'un des droits fondamentaux en la matière puisqu'il permet à un requérant d'accéder aux informations le concernant pour éventuellement faire procéder à une rectification.
Notre amendement vise à préciser l'information requise : le responsable devra indiquer la fonction de la personne ou le service. Il s'agit en effet de résoudre une question pratique, dans la mesure où les adresses et les identités peuvent changer régulièrement.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Tout à fait favorable.
M. le président. Je mets aux voix l'amendement n° 54.
(L'amendement est adopté.)
M. le président. L'amendement n° 55, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Compléter le dixième alinéa (9°) du I du texte proposé par cet article pour l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés par les mots : "et, le cas échéant, l'indication du recours à un sous-traitant ;". »
La parole est à M. le rapporteur.
M. Alex Turk, rapporteur. Dans le même esprit, cet amendement vise à préciser les informations requises dans les dossiers fournis par les responsables de traitements. En l'occurrence, il faudra simplement préciser à l'intention de la personne intéressée l'indication du recours à un sous-traitant. C'est donc une information supplémentaire qui est fournie.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Le Gouvernement ne peut qu'émettre un avis favorable.
M. le président. Je mets aux voix l'amendement n° 55.
(L'amendement est adopté.)
M. le président. L'amendement n° 56, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Compléter le dernier alinéa (10°) du I du texte proposé par cet article pour l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés par les mots : ", sous réserve des dispositions du 2° du I de l'article 5". »
La parole est à M. le rapporteur.
M. Alex Turk, rapporteur. Toujours dans la même ligne, nous sommes encore sur le contenu des dossiers présentés à la CNIL. Le présent amendement vise à simplifier et à alléger, en prenant en compte l'article 1er du projet de loi selon lequel les traitements en simple transit vers les Etats non membres de la Communauté européenne ne sont pas soumis à ces formalités.
Il est à noter que c'est un amendement intéressant et que nous avions signalé tout à l'heure dans la discusion générale comme faisant partie des mesures de simplication. Ces dispositions permettront de mettre nos entreprises en situation de concurrence, puisqu'il s'agit de formalités simples visant uniquement des situations de transit.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Favorable.
M. le président. Je mets aux voix l'amendement n° 56.
(L'amendement est adopté.)
M. le président. Je mets aux voix, modifié, le texte proposé pour l'article 30 de la loi n° 78-17 du 6 janvier 1978.
(Ce texte est adopté.)
ARTICLE 31 DE LA LOI N° 78-17 DU 6 JANVIER 1978
M. le président. L'amendement n° 57, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Rédiger comme suit le début du septième alinéa (5°) du I du texte proposé par cet article pour l'article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« Les catégories de données à caractère personnel (...) ».
La parole est à M. le rapporteur.
M. Alex Turk, rapporteur. Il s'agit d'un amendement de précision.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Favorable.
M. le président. Je mets aux voix l'amendement n° 57.
(L'amendement est adopté.)
M. le président. L'amendement n° 58, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Rédiger comme suit le II du texte proposé par cet article pour l'article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« II. - La commission tient à la disposition du public ses avis, décisions ou recommandations. »
La parole est à M. le rapporteur.
M. Alex Turk, rapporteur. Cet amendement s'inscrit dans les mesures relatives à la communication et à la nécessité d'améliorer les relations entre la Commission nationale de l'informatique et des libertés et l'ensemble de notre société. Il vise donc à améliorer l'information des citoyens en faisant en sorte que la communication des avis et des recommandations de la CNIL soit systématique.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Favorable.
M. le président. Je mets aux voix l'amendement n° 58.
(L'amendement est adopté.)
M. le président. L'amendement n° 59, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Compléter le texte proposé par cet article pour l'article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés par un paragraphe rédigé comme suit :
« III. - La Commission nationale de l'informatique et des libertés publie la liste des Etats dont la Commission des Communautés européennes a établi qu'ils assurent un niveau de protection suffisant à l'égard d'un transfert ou d'une catégorie de transferts de données à caractère personnel. »
Le sous-amendement n° 116, présenté par M. C. Gautier et les membres du groupe socialiste, apparenté et rattachée, est ainsi libellé :
« Dans le texte proposé par l'amendement n° 59 pour compléter par un III l'article 31 de la loi n° 78-17 du 6 janvier 1978, remplacer le mot : "suffisant" par le mot : "équivalent". »
La parole est à M. le rapporteur, pour présenter l'amendement n° 59.
M. Alex Turk, rapporteur. L'article 31 présenté par le projet de loi prévoit une obligation pour la CNIL de mettre à disposition du public des traitements qui lui sont soumis. Mais il omet de régler une question essentielle relative au niveau de protection. On a déjà évoqué cette question. Le niveau de protection est un concept qui a été mis en oeuvre depuis quelques années pour essayer de résoudre les problèmes de transferts de données à caractère personnel vers des Etats tiers. Il s'agit d'essayer de faire se conjuguer deux droits d'essence et de philosophie différentes que sont le droit anglo-saxon et le droit français. Or la directive prévoit un mécanisme d'information mutuelle entre les Etats membres en la matière.
Il est donc de bon sens de prévoir que la CNIL publiera la liste des Etats considérés par la Commission européenne comme ayant un niveau de protection suffisant pour permettre un transfert de données. Autrement dit, il ne servirait à rien, et il serait même dangereux, de fixer ce critère relatif au niveau de protection des données s'il n'y a pas, d'une manière ou d'une autre, un moyen d'informer les intéressés sur le niveau de protection présenté par l'Etat vers lequel ils comptent transférer des données. Il revient effectivement à la CNIL de publier régulièrement la liste des Etats qui présentent le niveau de protection requis et de tenir à jour cette liste, pour que chacun soit informé et évite de commettre des impairs.
M. le président. La parole est à M. Charles Gautier, pour présenter le sous-amendement n° 116.
M. Charles Gautier. Par son amendement n° 59, la commission des lois propose que la CNIL publie la liste des Etats dont la Commission des Communautés européennes a établi qu'ils assurent un niveau de protection suffisant à l'égard d'un transfert ou d'une catégorie de transferts de données à caractère personnel.
Nous apprécions cet amendement. Il soulève toutefois dès à présent un problème, qui sera essentiellement évoqué à l'article 12 du projet de loi, relatif aux transferts de données vers des Etats tiers.
Rappelons, d'une part, que les transferts vers des pays n'assurant pas un niveau de protection suffisant sont interdits et, d'autre part, que l'article 14 du projet de loi, modifiant l'article 226-22-1 du code pénal, sanctionne ce type de transfert de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Dans le texte du projet de loi en cours d'examen, il n'est pas prévu que soit mise à la disposition des responsables de traitements la liste de ces pays. Or cette information est connue, puisque la directive prévoit, dans ses articles 25 et suivants, un mécanisme d'information mutuelle des Etats membres en la matière. Pour M. le rapporteur, cette absence d'information entraîne inévitablement une insécurité juridique.
C'est la raison pour laquelle il est proposé de sous-amender cet amendement, afin de veiller à ce que le niveau de protection soit équivalent, et non suffisant, car, ainsi que le souligne M. le rapporteur, il peut exister des situations intermédiaires, certains pays pouvant disposer d'une législation de protection partielle ou sectorielle.
M. le président. Quel est l'avis de la commission sur le sous-amendement n° 116 ?
M. Alex Turk, rapporteur. Nous avons un problème d'ajustement. En ce qui concerne la nécessité de tout faire pour que la sécurité juridique soit établie, l'amendement que nous avons déposé règle le problème. En effet, la CNIL sera amenée à publier la liste des Etats qui présentent le niveau de protection que nous souhaitons. Je dis « nous souhaitons » pour éviter d'entrer dans un débat sémantique parce que j'y arrive à l'instant même.
Votre sous-amendement soulève un autre problème : il s'agit de l'exigence manifestée à l'égard de la nature du niveau de protection. En l'occurrence, vous souhaitez substituer l'adjectif « équivalent » à l'adjectif « suffisant ».
D'abord, par expérience, pour avoir présidé l'autorité de contrôle d'Europol - j'ai passé un an à réfléchir sur ce concept dans le cadre du protocole avec les Etats-Unis -, je dirai qu'il convient de ne pas attacher trop d'importance à ces questions. S'agissant du protocole avec les Etats-Unis, le niveau de protection était largement insuffisant. Or les Etats membres, unanimes, s'en sontcontentés.
Il nous appartient néanmoins d'essayer d'être le plus proche de la directive. Celle-ci évoque l'adjectif « adéquat ». Je crois avoir déjà dit, ici même, voilà quelques heures, que cet adjectif est peu usité en droit français. Il n'a pas beaucoup de sens. Cet adjectif est la traduction d'un mot du droit anglo-saxon.
Nous avons le choix entre deux expressions : « niveau suffisant » et « niveau équivalent ». Nous pensons que le terme « suffisant » implique l'idée que chaque Etat aura fait le nécessaire pour apporter un certain nombre de garanties. Si nous retenons l'exigence d'un niveau « équivalent », nous aboutirons à des blocages, car, aujourd'hui, autant il paraît raisonnable, dans l'ensemble des pays, de demander « un niveau de protection suffisant », autant le mot « équivalent » nous amènera, si vous me permettez l'expression, à un « pinaillage » tel que nous ralentirons considérablement les transferts de données, qui, par ailleurs, sont encadrés sur le plan juridique. Dans ces conditions, il vaut mieux nous en tenir à un niveau de protection « suffisant » plutôt qu'« équivalent ».
Notre avis est donc défavorable.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Nous sommes tout à fait favorables à l'amendement n° 59, dont l'adoption apporterait un enrichissement de la mission de la CNIL.
Quant au sous-amendement n° 116, sans vouloir entrer dans le détail, nous considérons, reprenant en cela les conclusions de M. le rapporteur, que ce qui est « suffisant », par définition, deviendra « équivalent », l'inverse étant effectivement plus difficile. J'ajoute que, la directive européenne ne prévoyant pas ce concept d'équivalence, nous ne pouvons pas l'accepter, car son introduction ne ferait que compliquer encore les choses.
Le Gouvernement est donc défavorable au sous-amendement n° 116.
M. le président. La parole est à M. Charles Gautier, pour explication de vote sur le sous-amendement n° 116. M. Charles Gautier. Les propos du ministre, qui s'ajoutent aux quelques leçons de sémantique que nous avons reçues tout au long de cet après-midi,...
M. Jean-Jacques Hyest. C'est tout autre chose !
M. Charles Gautier. ... sont tout à fait éclairants, et j'accepte la leçon.
En revanche, je ne peux pas accepter que l'on m'oppose l'argument selon lequel le terme « suffisant » peut être compris par tout le monde, alors que le mot « équivalent », qui introduit pourtant l'idée que l'on peut mesurer ce dont il s'agit, viendrait compliquer les choses.
Au nom de la logique que vous avez affichée durant toutes ces dernières heures, monsieur le rapporteur, je vous demande de revenir sur votre position : acceptez la notion d'équivalence, qui permet de prendre à témoin n'importe quel expérimentateur, et abandonnez celle de suffisance, qui présente en outre l'inconvénient de connaître des déclinaisons multiples.
M. le président. Je mets aux voix le sous-amendement n° 116.
(Le sous-amendement n'est pas adopté.)
M. le président. Je mets aux voix l'amendement n° 59.
(L'amendement est adopté.)
M. le président. Je mets aux voix, modifié, le texte proposé pour l'article 31 de la loi n° 78-17 du 6 janvier 1978.
(Ce texte est adopté.)
M. le président. Je mets aux voix l'ensemble de l'article 4, modifié.
(L'article 4 est adopté.)
M. le président. « Art. 5. - Le chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est intitulé : "Obligations incombant aux responsables de traitements et droits des personnes". Ce chapitre comprend les articles 32 à 42 ainsi que l'article 40, qui devient l'article 43. Il comprend deux sections ainsi rédigées :
« Section 1
« Obligations incombant
aux responsables de traitements
« Art. 32. - I. - La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :
« 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
« 2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
« 3° Du caractère obligatoire ou facultatif des réponses ;
« 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
« 5° Des destinataires ou catégories de destinataires des données ;
« 6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre.
« I bis. - L'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur est autorisée si l'abonné ou l'utilisateur a reçu, au préalable, une information claire et complète sur les finalités du traitement et sur les moyens dont il dispose pour s'y opposer.
« Ces dispositions ne font pas obstacle au stockage ou à l'accès technique visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou qui sont strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.
« Il est interdit de subordonner l'accès à un service disponible sur un réseau de communications électroniques à l'acceptation, par l'abonné ou l'utilisateur concerné, du traitement des informations stockées dans son équipement terminal.
« Le fait de stocker ou collecter des informations stockées dans l'équipement terminal de l'abonné ou de l'utilisateur, sans l'avoir préalablement informé conformément aux dispositions du premier alinéa du présent I bis, ou d'avoir subordonné l'accès à un service à l'acceptation, par l'abonné ou l'utilisateur, du traitement des informations stockées dans son terminal, est puni de cinq ans d'emprisonnement et de 300 000 EUR d'amende.
« II. - Lorsque les données n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.
« Les dispositions de l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à la conservation de données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues par la loi n° 79-18 du 3 janvier 1979 sur les archives, lorsque ces données ont été initialement recueillies pour un autre objet. Ces dispositions ne s'appliquent également pas quand l'information de la personne concernée se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.
« III. - Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au II et utilisées lors d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.
« IV. - Les dispositions du présent article ne s'appliquent pas aux traitements de données ayant pour objet la prévention, la recherche ou la poursuite d'infractions pénales.
« Art. 33. - Sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de services de certification électronique pour les besoins de la délivrance et de la conservation des certificats liés aux signatures électroniques doivent l'être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies.
« Art. 34. - Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.
« Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 1° et au 5° du II de l'article 8.
« Art. 35. - Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.
« Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.
« Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.
« Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.
« Art. 36. - Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l'article 6 qu'en vue d'être traitées à des fins historiques, statistiques ou scientifiques ; le choix des informations ainsi conservées est opéré dans les conditions prévues à l'article 4-1 de la loi n° 79-18 du 3 janvier 1979 précitée.
« Toutefois, il peut être procédé à un traitement à d'autres finalités que celles mentionnées à l'alinéa premier soit avec l'accord exprès de la personne concernée, soit avec l'autorisation de la Commission nationale de l'informatique et des libertés ou, lorsque les données conservées sont au nombre de celles qui sont mentionnées au I de l'article 8, dans les conditions prévues au III du même article.
« Art. 37. - Les dispositions de la présente loi ne font pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal et des dispositions du titre II de la loi n° 79-18 du 3 janvier 1979 précitée.
« En conséquence, ne peut être regardé comme un tiers non autorisé au sens de l'article 34 le titulaire d'un droit d'accès aux documents administratifs ou aux archives publiques exercé conformément aux lois n° 78-753 du 17 juillet 1978 et n° 79-18 du 3 janvier 1979 précitées.
« Section 2
« Droits des personnes à l'égard des traitements
de données à caractère personnel
« Art. 38. - Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données la concernant fassent l'objet d'un traitement.
« Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.
« Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement.
« Art. 39. - I. - Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir :
« 1° La confirmation que des données la concernant font ou ne font pas l'objet de ce traitement ;
« 2° Des informations relatives aux finalités du traitement, aux catégories de données traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
« 3° La communication, sous une forme accessible, des données qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;
« 4° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé lorsque les résultats de celui-ci lui sont opposés. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle.
« Une copie des données est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction.
« En cas de risque de dissimulation ou de disparition des données, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.
« II. - Le responsable du traitement peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.
« Les dispositions du présent article ne s'appliquent pas lorsque les données à caractère personnel sont conservées pendant une durée n'excédant pas celle qui est nécessaire à l'établissement de statistiques dans les conditions prévues par la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques.
« Art. 40. - Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.
« Lorsque l'intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.
« En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.
« Lorsqu'il obtient une modification de l'enregistrement, l'intéressé est en droit d'obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l'article 39.
« Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.
« Les héritiers d'une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l'objet d'un traitement n'ont pas été actualisées, exiger du responsable de ce traitement qu'il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence.
« Lorsque les héritiers ont exercé la faculté prévue par l'alinéa précédent, ils sont en droit d'interroger le responsable du traitement afin d'obtenir la confirmation que des données à caractère personnel concernant le défunt font, ou non, encore l'objet d'un traitement.
« Art. 41. - Par dérogation aux articles 39 et 40, les demandes d'accès relatives aux traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique sont adressées à la Commission nationale de l'informatique et des libertés, qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission.
« Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données à caractère personnel enregistrées ou du résultat des opérations effectuées en application du premier alinéa de l'article 40 ne met pas en cause les finalités poursuivies par ces traitements, ces données ou ces résultats sont communiqués au requérant.
« Dans les autres cas, la commission informe le requérant qu'il a été procédé aux vérifications.
« Art. 42. - Les dispositions de l'article 41 sont applicables aux traitements mis en oeuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de prévenir, rechercher ou constater des infractions, ou de contrôler ou recouvrer des impositions, si un tel droit a été prévu par l'autorisation mentionnée aux articles 25, 26 ou 27. »
ARTICLE 32 DE LA LOI N° 78-17 DU 6 JANVIER 1978
M. le président. L'amendement n° 60, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Après le septième alinéa (6°) du I du texte proposé par cet article pour l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, insérer un alinéa rédigé comme suit :
« 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne. »
La parole est à M. le rapporteur.
M. Alex Turk, rapporteur. Nous en venons avec l'article 5 à l'information qui doit être fournie par les responsables de traitements aux personnes concernées.
Notre amendement vise à ajouter une obligation d'information dont bénéficieront les citoyens : le responsable devra préciser aux personnes auprès desquelles il collecte des données à caractère personnel si celles-ci feront l'objet d'un transfert vers un Etat non membre de la Communauté européenne.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Favorable.
M. le président. Je mets aux voix l'amendement n° 60.
(L'amendement est adopté.)
M. le président. L'amendement n° 61, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Rédiger comme suit le I bis du texte proposé par cet article pour l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« I bis. - Toute personne utilisatrice des réseaux de communication électroniques doit être informée de manière claire et complète par le responsable du traitement ou son représentant :
« - de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
« - des moyens dont elle dispose pour s'y opposer.
« Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
« - soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
« - soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. »
Le sous-amendement n° 117, présenté par M. C. Gautier et les membres du groupe socialiste, apparenté et rattachée, est ainsi libellé :
« Dans le premier alinéa du texte proposé par l'amendement n° 61 pour le I bis de l'article 32 de la loi n° 78-17 du 6 janvier 1978, après les mots : "doit être", insérer le mot : "préalablement". »
La parole est à M. le rapporteur, pour présenter l'amendement n° 61.
M. Alex Turk, rapporteur. Cet amendement, aussi appelé « amendement cookies », est relatif aux témoins de connexion. Il tend à rapprocher la rédaction du projet de loi de celle de la directive, notamment en allégeant et en assouplissant les mesures relatives à l'information des utilisateurs.
Il ne s'agit en aucune manière de baisser le niveau de garantie : notre propos est simplement de nous adapter à un certain nombre de réalités pour éviter que notre pays ne devienne un « îlot archaïque » dans un ensemble plus moderne.
En l'occurrence, l'objet de l'amendement est de permettre le développement informatique tout en maintenant la garde sur le plan des garanties.
M. le président. La parole est à M. Charles Gautier, pour présenter le sous-amendement n° 117.
M. Charles Gautier. Conformément à la directive, la commission, dans son amendement n° 61, propose la suppression de la disposition interdisant de subordonner l'accès à un service à l'acceptation par l'internaute du traitement des informations enregistrées au moyen des témoins de connexion dans son équipement terminal. Elle propose également la suppression du caractère préalable de l'information, au motif que cette obligation n'est plus prévue dans la directive.
S'il est nécessaire de prendre en considération la position adoptée dans la directive de 2002 en procédant à sa transposition en droit interne, on ne peut que regretter la suppression de l'information préalable, qui représente une sérieuse garantie au profit de l'utilisateur d'un réseau de communication électronique. C'est la raison pour laquelle il conviendrait de la maintenir.
M. le président. Quel est l'avis de la commission sur le sous-amendement n° 117 ?
M. Alex Turk, rapporteur. Nous n'avons guère le choix : nous sommes contraints par la directive de juillet 2002 relative à la vie privée et aux télécommunications électroniques, qui nous interdit d'inscrire la notion de préalable dans le projet de loi.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Le Gouvernement est favorable à l'amendement n° 61, qui tend à améliorer la rédaction du projet de loi, ce dont nous remercions M. le rapporteur.
En revanche, il est défavorable au sous-amendement n° 117 : outre que le maintien de l'information préalable n'est pas prévu dans la directive, il nous apparaît que la formulation proposée par la commission apporte des garanties tout à fait suffisantes.
M. le président. Je mets aux voix le sous-amendement n° 117.
(Le sous-amendement n'est pas adopté.)
M. le président. Je mets aux voix l'amendement n° 61.
(L'amendement est adopté.)
M. le président. L'amendement n° 62, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« I. - Après les mots : "Lorsque les données", insérer les mots : "à caractère personnel" dans le premier alinéa du II du texte proposé par cet article pour l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
« II. - Après le mot : "données", insérer deux fois les mots : "à caractère personnel" dans le second alinéa du II du texte proposé par cet article pour l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. »
La parole est à M. le rapporteur.
M. Alex Türk, rapporteur. Il s'agit d'un amendement rédactionnel.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Favorable.
M. le président. Je mets aux voix l'amendement n° 62.
(L'amendement est adopté.)
M. le président. L'amendement n° 102, présenté par M. Bret et les membres du groupe communiste républicain et citoyen, est ainsi libellé :
« Compléter la première phrase du second alinéa du II du texte proposé par cet article pour l'article 32 de la loi n° 78-17 du 6 janvier 1978 par les mots : "et rendues non identifiantes". »
La parole est à M. Robert Bret.
M. Robert Bret. Le présent amendement vise à tirer la conséquence des propos tenus tant par M. le rapporteur que par M. le garde des sceaux depuis le début de ce débat et tend à réaffirmer avec force le principe de la protection des données.
Nous proposons de compléter les dispositions régissant les exceptions à la règle de l'information contenues dans le présent article par l'exigence que les données concernées auront été au préalable rendues non identifiantes. En effet, il paraît logique que, si les « traitements nécessaires à la conservation de données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues par la loi n° 79-18 du 3 janvier 1979 sur les archives » ne déclenchent pas le processus d'information, ils doivent en contrepartie ne pas permettre l'identification des personnes concernées.
M. le président. Quel est l'avis de la commission ?
M. Alex Turk, rapporteur. Par coordination, la commission émet un avis défavorable.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Défavorable.
M. le président. Je mets aux voix l'amendement n° 102.
(L'amendement n'est pas adopté.)
M. le président. Je suis saisi de deux amendements qui peuvent faire l'objet d'une discussion commune.
L'amendement n° 63, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Rédiger comme suit la seconde phrase du dernier alinéa du II du texte proposé par cet article pour l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« Ces dispositions ne s'appliquent pas non plus lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche. »
L'amendement n° 103, présenté par M. Bret et les membres du groupe communiste républicain et citoyen, est ainsi libellé :
« A la fin de la seconde phrase du second alinéa du II du texte proposé par cet article pour l'article 32 de la loi n° 78-17 du 6 janvier 1978, supprimer les mots : "ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche". »
La parole est à M. le rapporteur, pour défendre l'amendement n° 63.
M. Alex Turk, rapporteur. L'article 32 de la loi de 1978 prévoit notamment que, lorsque les données n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement doit fournir à celle-ci certaines informations.
Le projet de loi prévoit des dérogations à ce principe, notamment - cela paraît évident ! - quand l'information de la personne concernée se révèle impossible.
Notre amendement tend à ajouter une précision de bon sens, même si elle peut paraître incongrue, puisqu'il vise à spécifier que l'obligation d'information disparaît également lorsque la personne concernée est déjà informée : si une personne est déjà informée, il n'est évidemment plus nécessaire de l'informer !
M. le président. La parole est à M. Robert Bret, pour défendre l'amendement n° 103.
M. Robert Bret. Notre amendement vise à apporter des garanties supplémentaires lors de l'utilisation de données qui n'ont pas été recueillies auprès de la personne concernée.
Dans certaines situations, les informations qui doivent en principe être fournies à la personne ne peuvent pas l'être. Le paragraphe II du texte proposé à l'article 5 pour l'article 32 de la loi n° 78-17 du 6 janvier 1978 prévoit notamment que les informations ne sont pas fournies « lorsque cela exige des efforts disproportionnés par rapport à l'intérêt de la démarche ».
Le groupe communiste républicain et citoyen estime quelque peu léger, au regard de l'enjeu, d'inscrire une telle disposition dans le projet de loi.
M. le président. Quel est l'avis de la commission sur l'amendement n° 103 ?
M. Alex Turk, rapporteur. Je ne crois pas, mon cher collègue, que ce soit « léger ». La notion d'« efforts disproportionnés » est extrêmement classique et familière à la Commission nationale de l'informatique et des libertés, puisqu'elle s'inscrit pleinement - nous y avons fait allusion tout à l'heure - dans la notion de proportionnalité.
En l'occurrence, il me paraît raisonnable de poser que l'obligation d'information ne justifie pas que l'on fasse des efforts disproportionnés. Cette disposition, que la CNIL considère comme parfaitement classique, doit être comprise comme une mesure de simplification qui n'altère en rien le niveau de garantie offert à nos concitoyens.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Le Gouvernement émet un avis favorable sur l'amendement n° 63, qui améliore indéniablement la rédaction proposée pour l'article 32 de la loi du 6 janvier 1978.
Il émet en revanche un avis d'autant plus défavorable sur l'amendement n° 103 - qui, effectivement, tend à rigidifier le système - que les pouvoirs a posteriori qui sont déjà donnés à la CNIL lui paraissent tout à fait suffisants.
M. le président. Je mets aux voix l'amendement n° 63.
(L'amendement est adopté.)
M. le président. En conséquence, l'amendement n° 103 n'a plus d'objet.
L'amendement n° 64, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Après le II du texte proposé par cet article pour l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, insérer un paragraphe rédigé comme suit :
« II bis. - Si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I. »
La parole est à M. le rapporteur.
M. Alex Turk, rapporteur. Cet amendement vise à compléter le dispositif que nous avons déjà évoqué en matière d'anonymisation en allégeant les formalités requises, grâce à la réduction du champ des informations à fournir aux personnes concernées.
Il est conforme à la directive, selon laquelle une telle limitation des informations à fournir est licite lorsqu'elle est nécessaire pour assurer la protection des personnes. C'est bien le cas ici, puisque la procédure d'anonymisation constitue à n'en pas douter une garantie pour la vie privée. Dès l'instant où le risque est réduit, il est parfaitement légitime d'alléger les formalités afférentes.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Favorable.
M. le président. Je mets aux voix l'amendement n° 64.
(L'amendement est adopté.)
M. le président. L'amendement n° 65, présenté par M. Türk, au nom de la commission, est ainsi libellé :
« Dans le IV du texte proposé par cet article pour l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, après les mots : "la recherche", insérer les mots : ", la constatation". »
La parole est à M. le rapporteur.
M. Alex Turk, rapporteur. Il s'agit d'un amendement de précision, monsieur le président.
M. le président. Quel est l'avis du Gouvernement ?
M. Pierre Bédier, secrétaire d'Etat. Favorable.
M. le président. Je mets aux voix l'amendement n° 65.
(L'amendement est adopté.)
M. le président. Je mets aux voix, modifié, le texte proposé pour l'article 32 de la loi n° 78-17 du 6 janvier 1978.
(Ce texte est adopté.)