Mme Christine Lavarde. Cet amendement, dans le même esprit que le précédent, vise à harmoniser un certain nombre de dispositions.
La section 5 du chapitre VI du titre II du livre II de la partie législative du code pénal traite des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques. Or, dans la rédaction actuelle, elle n’est plus en parfaite cohérence avec la rédaction de la loi Informatique et libertés, telle qu’elle découlera de l’adoption du présent projet de loi.
Par ailleurs, les contraventions prévues dans les articles réglementaires du code pénal aux articles R. 625-10 à R. 625-13, et qui relèvent d’un décret en Conseil d’État, visent des faits classés par le RGPD parmi les manquements les plus graves. Ces faits devraient donc être requalifiés en délits, et placés au même niveau que les autres infractions.
Enfin, il n’est pas prévu, dans le projet de loi actuel, de sanctionner le non-respect de l’ensemble des nouveaux droits et obligations introduits par le RGPD.
Le présent amendement a donc un double objet.
D’une part, il vise à harmoniser le montant des sanctions prévues dans la section du code pénal précédemment mentionnée et celles qui figureront dans la loi Informatique et libertés une fois que le texte que nous examinons aura été adopté.
D’autre part, il procède à certaines mises à jour du contenu d’autres articles du code pénal, afin de tenir compte des nouveautés introduites par l’entrée en vigueur du RGPD.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Nous demandons également le retrait de cet amendement, car la même confusion est créée entre sanctions administratives et pénales.
Les sanctions administratives que la CNIL pourra imposer doivent être bien distinguées des sanctions prononcées par les juridictions pénales. Le RGPD renvoie au droit des États membres sur ce point et, à ce titre, le code pénal réprime déjà plusieurs infractions sanctionnant la méconnaissance de la loi Informatique et libertés.
L’échelle des peines et l’architecture globale des sanctions pénales mériteraient sûrement d’être actualisées, mais la rédaction choisie n’est pas la bonne.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Il est également défavorable.
Le Gouvernement n’est pas opposé au principe d’un durcissement de la répression des infractions pénales applicables en cas de non-respect des règles relatives à la protection des données personnelles. Il nous semble néanmoins difficile de souscrire aux qualifications et peines proposées, qui apparaissent manifestement excessives.
Contrairement à l’amende administrative, l’amende pénale applicable aux personnes morales est déjà cinq fois supérieure à celle qui est encourue par les personnes physiques. Ainsi, en cas de violation des règles applicables au traitement de données personnelles, c’est une amende de 300 000 euros qui est actuellement encourue par les personnes physiques et de 1,5 million d’euros par les personnes morales !
Fixer l’amende à 5 millions, 10 millions ou 20 millions d’euros et, dans le cas d’une entreprise, jusqu’à 1 %, 2 % ou 4 % de son chiffre d’affaires, revient à infliger aux personnes morales autres que des entreprises – les fondations, les associations ou les communes, par exemple – des amendes pouvant atteindre 100 millions d’euros. Cela nous paraît un peu disproportionné.
M. Simon Sutour. C’est le Monopoly !
M. le président. La parole est à Mme Christine Lavarde, pour explication de vote.
Mme Christine Lavarde. Afin de gagner du temps, je vais retirer cet amendement, mais en formulant les deux propositions que je viens de faire, j’avais tout de même la volonté d’attirer l’attention sur l’extrême hétérogénéité des sanctions. Ces amendements ont été discutés, notamment, avec des professionnels du secteur, qui se disent eux-mêmes perdus.
Vous l’avez remarqué, madame le rapporteur, madame la ministre, il y a superposition de différents cadres réglementaires et confusion entre sanctions pénales et sanctions administratives. De ce fait, il sera certainement nécessaire de prévoir des documents de communication, des fascicules explicatifs afin que chacun comprenne bien dans quelle situation il se trouve.
Je pense que le message est passé !
Je retire l’amendement.
M. le président. L’amendement n° 57 rectifié bis est retiré.
Je mets aux voix l’article 6, modifié.
(L’article 6 est adopté.)
M. le président. Nous en revenons à l’article 5, précédemment réservé.
Article 5 (précédemment réservé)
La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée :
1° A Après l’article 48, il est inséré un chapitre VII bis, intitulé : « De la coopération » et comprenant les articles 49 à 49-5 tels qu’ils résultent des 1° à 3° du présent article ;
1° L’article 49 est ainsi rédigé :
« Art. 49. – Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de l’informatique et des libertés met en œuvre des procédures de coopération et d’assistance mutuelle avec les autorités de contrôle des autres États membres de l’Union européenne et réalise avec ces autorités des opérations conjointes.
« La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.
« La commission peut charger le bureau :
« – d’exercer ses prérogatives en tant qu’autorité concernée, au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et en particulier d’émettre une objection pertinente et motivée au projet de décision d’une autre autorité de contrôle ;
« – lorsque la commission adopte un projet de décision en tant qu’autorité chef de file ou autorité compétente, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par ledit règlement et d’arrêter la décision au nom de la commission. » ;
2° Après le même article 49, sont insérés des articles 49-1 à 49-4 ainsi rédigés :
« Art. 49-1. – I. – Pour l’application de l’article 62 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de l’informatique et des libertés coopère avec les autorités de contrôle des autres États membres de l’Union européenne, dans les conditions prévues au présent article.
« II. – Qu’elle agisse en tant qu’autorité de contrôle chef de file ou en tant qu’autorité concernée au sens des articles 4 et 56 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de l’informatique et des libertés est compétente pour traiter une réclamation ou une éventuelle violation des dispositions du même règlement affectant par ailleurs d’autres États membres. Le président de la commission invite les autres autorités de contrôle concernées à participer aux opérations de contrôle conjointes qu’il décide de conduire.
« III. – Lorsqu’une opération de contrôle conjointe se déroule sur le territoire français, des membres ou agents habilités de la commission, agissant en tant qu’autorité de contrôle d’accueil, sont présents aux côtés des membres et agents des autres autorités de contrôle participant, le cas échéant, à l’opération. À la demande de l’autorité de contrôle d’un État membre, le président de la commission peut habiliter, par décision particulière, ceux des membres ou agents de l’autorité de contrôle concernée qui présentent des garanties comparables à celles requises des agents de la commission, en application de l’article 19 de la présente loi, à exercer, sous son autorité, tout ou partie des pouvoirs de vérification et d’enquête dont disposent les membres et les agents de la commission.
« IV. – Lorsque la commission est invitée à contribuer à une opération de contrôle conjointe décidée par l’autorité de contrôle d’un autre État membre, le président de la commission se prononce sur le principe et les conditions de la participation, désigne les membres et agents habilités et en informe l’autorité requérante dans les conditions prévues à l’article 62 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
« Art. 49-2. – I. – Les traitements mentionnés à l’article 70-1 font l’objet d’une coopération entre la Commission nationale de l’informatique et des libertés et les autorités de contrôle des autres États membres de l’Union européenne dans les conditions prévues au présent article.
« II. – La commission communique aux autorités de contrôle des autres États membres les informations utiles et leur prête assistance en mettant notamment en œuvre, à leur demande, des mesures de contrôle telles que des mesures de consultation, d’inspection et d’enquête.
« La commission répond à une demande d’assistance mutuelle formulée par une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande contenant toutes les informations nécessaires, notamment sa finalité et ses motifs. Elle ne peut refuser de satisfaire à cette demande que si elle n’est pas compétente pour traiter l’objet de la demande ou les mesures qu’elle est invitée à exécuter, ou si une disposition du droit de l’Union européenne ou du droit français y fait obstacle.
« La commission informe l’autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l’avancement du dossier ou des mesures prises pour donner suite à la demande.
« La commission peut, pour l’exercice de ses missions, solliciter l’assistance d’une autorité de contrôle d’un autre État membre de l’Union européenne.
« La commission donne les motifs de tout refus de satisfaire à une demande lorsqu’elle estime ne pas être compétente ou lorsqu’elle considère que satisfaire à la demande constituerait une violation du droit de l’Union européenne ou du droit français.
« Art. 49-3. – Lorsque la commission agit en tant qu’autorité de contrôle chef de file s’agissant d’un traitement transfrontalier au sein de l’Union européenne, elle communique sans tarder aux autres autorités de contrôle concernées le rapport du rapporteur mentionné au premier alinéa de l’article 47 ainsi que l’ensemble des informations utiles de la procédure ayant permis d’établir le rapport, avant l’éventuelle audition du responsable de traitement ou de son sous-traitant. Les autorités concernées sont mises en mesure d’assister, par tout moyen de retransmission approprié, à l’audition par la formation restreinte du responsable de traitement ou de son sous-traitant, ou de prendre connaissance d’un procès-verbal dressé à la suite de l’audition.
« Après en avoir délibéré, la formation restreinte soumet son projet de décision aux autres autorités de contrôle concernées conformément à la procédure définie à l’article 60 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. À ce titre, elle se prononce sur la prise en compte des objections pertinentes et motivées émises par ces autorités et saisit, si elle décide d’écarter l’une des objections, le comité européen de la protection des données conformément à l’article 65 du même règlement.
« Les conditions d’application du présent article sont définies par décret en Conseil d’État, après avis de la Commission nationale de l’informatique et des libertés.
« Art. 49-4. – Lorsque la commission agit en tant qu’autorité de contrôle concernée, au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, le président de la commission est saisi des projets de mesures correctrices soumis à la commission par une autorité de contrôle chef de file.
« Lorsque ces mesures sont d’objet équivalent à celles définies aux I et III de l’article 45 de la présente loi, le président décide, le cas échéant, d’émettre une objection pertinente et motivée selon les modalités prévues à l’article 60 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
« Lorsque ces mesures sont d’objet équivalent à celles définies au II de l’article 45 de la présente loi, le président saisit la formation restreinte. Le président de la formation restreinte ou le membre de la formation restreinte qu’il désigne peut, le cas échéant, émettre une objection pertinente et motivée selon les mêmes modalités. » ;
3° L’article 49 bis devient l’article 49-5.
M. le président. L’amendement n° 33, présenté par Mme M. Carrère, est ainsi libellé :
I. – Alinéas 4, 10 et 14
Après les mots :
des autres États membres de l’Union européenne
insérer les mots :
, sous réserve de leur application dudit règlement,
II. – Alinéa 23
Après le mot :
précité
insérer les mots :
, sous réserve de l’application dudit règlement par l’État membre de l’autorité de contrôle chef de file
La parole est à Mme Maryse Carrère.
Mme Maryse Carrère. Avec cet amendement, nous souhaitons insister sur la nécessité d’exiger de nos partenaires européens qu’ils appliquent le règlement RGPD avec la même rigueur que celle que nous nous imposerons.
La création d’une coopération entre autorités de contrôle n’aura pas d’effet positif sur la protection des données personnelles des citoyens européens si certains États membres adoptent des stratégies non coopératives.
Il est à prévoir que la mise en œuvre de cette coopération puisse, dans les premiers temps de l’application, donner lieu à certains flottements, tant le mécanisme est innovant.
Cette réciprocité est d’autant plus nécessaire que, jusqu’à présent, le législateur français s’est appliqué à assurer un niveau très élevé de protection des données personnelles.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. La commission demande le retrait de cet amendement, contraire au règlement général européen.
Celui-ci, d’application directe, détermine de façon complète les obligations de coopération et d’assistance mutuelle que se doivent les différentes autorités européennes.
Les cas dérogatoires sont limitativement fixés à l’article 61, dont le b) du 4 satisfait partiellement les auteurs de cet amendement. En effet, il est précisé qu’une autorité de contrôle requise ne peut refuser de satisfaire à une demande d’assistance, sauf si « satisfaire à la demande constituerait une violation du présent règlement ou du droit de l’Union ou du droit de l’État membre auquel l’autorité de contrôle qui a reçu la demande est soumise ».
M. le président. Quel est l’avis du Gouvernement ?
Mme Maryse Carrère. Je retire l’amendement.
M. le président. L’amendement n° 33 est retiré.
L’amendement n° 128, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :
Alinéa 12, seconde phrase
Après les mots :
sous son autorité
insérer les mots :
et son contrôle
La parole est à M. Jérôme Durain.
M. Jérôme Durain. Le RGPD renforce la coopération européenne en matière de protection des données personnelles. Il instaure un système d’action cohérente et d’assistance mutuelle entre les différentes autorités compétentes. Dans ce cadre, la CNIL pourra être amenée à réaliser des opérations conjointes avec les autorités de contrôle des autres États membres.
Lorsqu’une opération de contrôle conjointe se déroule sur le territoire français, les membres et agents de la CNIL sont présents aux côtés des membres et agents des autres autorités de contrôle participant à l’opération. Le droit national s’impose. Il ressort en effet de la négociation du RGPD le souci des États membres de veiller au respect de la souveraineté nationale.
À cet égard, le règlement prévoit une marge de manœuvre laissée aux États membres concernant les pouvoirs d’enquête confiés aux membres et agents associés aux opérations conjointes.
En conséquence, lorsque le président de la CNIL habilite les membres et agents de ces autorités à participer à des opérations se déroulant sur le territoire national, il convient de préciser que ces derniers exercent sous son autorité, mais également sous son contrôle, tout ou partie des pouvoirs de vérification et d’enquête dont disposent les agents de la CNIL.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Favorable.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Il est défavorable.
Comme cela vient d’être exposé, l’amendement tend à préciser que, lorsque le président de la CNIL habilite des agents d’une autorité de protection des données étrangère, les opérations de contrôle concernées sont menées, non seulement sous son autorité – ce que prévoit déjà le projet de loi –, mais également sous son contrôle.
La formulation utilisée ne nous semble pas cohérente avec celle du 3 de l’article 62 du RGPD, prévoyant que les pouvoirs d’enquête de l’autorité de contrôle étrangère sont exercés « sous l’autorité et en présence de membres ou d’agents de l’autorité de contrôle d’accueil ».
La CNIL exerce donc son autorité lors des opérations conjointes par la présence de ses membres ou agents – aux termes de cet article 62 –, sans qu’il faille préciser que ces opérations ont lieu sous son contrôle.
L’article 5 du projet de loi, dans sa rédaction actuelle, est conforme au règlement de l’Union européenne et il n’est pas nécessaire, de mon point de vue, d’effectuer l’ajout proposé, dès lors que les autres États membres n’adopteraient pas une rédaction similaire.
M. le président. Je suis saisi de deux amendements identiques.
L’amendement n° 150 est présenté par M. L. Hervé.
L’amendement n° 154 est présenté par Mme Joissains, au nom de la commission.
Ces deux amendements sont ainsi libellés :
I. – Alinéa 24
Remplacer la référence :
III
par la référence :
II
II. – Alinéa 25, première phrase
Remplacer la référence :
II
par la référence :
III
La parole est à M. Loïc Hervé, pour présenter l’amendement n° 150.
M. Loïc Hervé. Cet amendement, identique à l’amendement suivant de Mme le rapporteur, justifie pleinement que l’examen de l’article 5 ait été réservé, nous permettant ainsi d’examiner l’article 6 au préalable. Il s’agit, en effet, d’un amendement de coordination.
M. le président. La parole est à Mme le rapporteur, pour présenter l’amendement n° 154.
Mme Sophie Joissains, rapporteur. Il s’agit bien d’un amendement de coordination avec le chaînage précédemment évoqué.
M. le président. Quel est l’avis du Gouvernement ?
M. le président. Je mets aux voix les amendements identiques nos 150 et 154.
(Les amendements sont adoptés.)
M. le président. Je mets aux voix l’article 5, modifié.
(L’article 5 est adopté.)
Article additionnel après l’article 6
M. le président. L’amendement n° 48 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :
Après l’article 6
Insérer un article additionnel ainsi rédigé :
Le Président de la Commission nationale de l’informatique et des libertés établit, après avis de ses membres, une charte de déontologie énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de délégué à la protection des données dans les administrations publiques.
La parole est à M. Alain Marc.
M. Alain Marc. Le délégué à la protection des données est chargé de mettre en œuvre la conformité au règlement général sur la protection des données au sein de l’organisme qui l’a désigné, et ce pour l’ensemble des traitements auxquels cet organisme a recours.
La désignation d’un délégué est obligatoire pour les autorités ou les organismes publics. Elle s’effectue sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions.
Du fait de ces attributions sensibles, il semble cohérent que le mouvement déontologique à l’œuvre dans l’ensemble de la sphère publique s’applique également à la fonction de DPO.
La particularité de son office plaide également pour des dispositions déontologiques spécifiques, que la CNIL serait le plus à même d’identifier. Un tel document, associé aux chartes existant déjà dans le secteur privé, pourrait en outre contribuer à mieux définir les bonnes pratiques pour l’ensemble des DPO.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Cet amendement introduit une notion de déontologie, au moment même où les DPO vont être désignés. S’agissant d’une fonction nouvelle, la commission était assez dubitative sur cette proposition. Pour ma part, je voterai l’amendement.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Il est défavorable.
Cet amendement vise à prévoir que le président de la CNIL établit une charte de déontologie propre aux délégués à la protection des données dans les administrations publiques. Pour le Gouvernement, il n’est pas indispensable de confier cette nouvelle mission à la CNIL.
Dès lors que le G29, le groupe de travail des autorités de contrôle européennes, établit des lignes directrices pour la fonction de délégué à la protection des données, il n’y a pas lieu, en tout cas, de l’inscrire dans la loi. L’énonciation de tels principes déontologiques et des bonnes pratiques propres à l’exercice de cette mission peut effectivement s’effectuer par le biais de circulaires.
M. le président. Dois-je considérer que la commission s’en remet à la sagesse du Sénat, madame le rapporteur ?
Mme Sophie Joissains, rapporteur. Tout à fait, monsieur le président.
M. le président. En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 6.
Chapitre II
Dispositions relatives à certaines catégories de données
Article 7
L’article 8 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Le I est ainsi rédigé :
« I. – Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. » ;
2° Le II est ainsi modifié :
a) À la fin du 7°, les mots : « et dans les conditions prévues à l’article 25 de la présente loi » sont supprimés ;
b) Le 8° est ainsi rédigé :
« 8° Les traitements comportant des données concernant la santé justifiés par l’intérêt public et conformes aux dispositions du chapitre IX de la présente loi. » ;
c) Sont ajoutés des 9° et 10° ainsi rédigés :
« 9° Les traitements conformes aux règlements types mentionnés au b du 2° du I de l’article 11 mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;
« 10° Les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et décisions mentionnés, respectivement, à l’article L. 10 du code de justice administrative et à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que ces traitements n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées. » ;
3° Le III est ainsi rédigé :
« III. – N’entrent pas dans le champ de l’interdiction prévue au I les données à caractère personnel mentionnées au même I qui sont appelées à faire l’objet, à bref délai, d’un procédé d’anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l’informatique et des libertés. » ;
4° Le IV est ainsi rédigé :
« IV. – De même, ne sont pas soumis à l’interdiction prévue au I les traitements, automatisés ou non, justifiés par l’intérêt public et autorisés dans les conditions prévues au II de l’article 26. »
M. le président. L’amendement n° 137, présenté par Mme S. Robert, MM. Durain, Sutour, Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :
Alinéa 3
Après le mot :
révèlent
Insérer les mots :
directement ou indirectement
La parole est à Mme Sylvie Robert.
Mme Sylvie Robert. Cet amendement tend à reprendre, à l’alinéa 3 de cet article, la formulation du premier alinéa de l’article 8 de la loi de 1978, dans sa version actuelle. Il peut apparaître purement rédactionnel, mais il a toute son importance. Ou alors il faudra m’expliquer pour quelle raison les termes « directement ou indirectement » ont été supprimés du texte…