M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Il convient effectivement d’harmoniser les concepts figurant dans la loi et ceux contenus dans le règlement européen.
L’avis est donc favorable sur cet amendement d’appel, qui est très bien rédigé.
M. le président. Quel est l’avis du Gouvernement ?
M. le président. En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, avant le chapitre Ier.
Chapitre Ier
Champ d’application territorial des dispositions complétant le règlement (UE) 2016/679
Article additionnel avant l’article 8
M. le président. L’amendement n° 59 rectifié, présenté par Mmes Lavarde et Garriaud-Maylam, M. Lefèvre, Mme Estrosi Sassone, MM. Brisson, Bazin et Babary, Mme Lassarade, MM. Chaize, Paccaud, Dallier et Bonhomme, Mme Lamure, MM. Perrin, Raison, Milon et Rapin, Mmes Deroche et Imbert et MM. Bouchet, Mandelli, Bonne, Laménie et Savin, est ainsi libellé :
Avant l’article 8
Insérer un article additionnel ainsi rédigé :
Le I de l’article 5 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :
1° Le 1° est ainsi rédigé :
« 1° Effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que le traitement ait lieu ou non sur le territoire français ; »
2° Sont ajoutés trois alinéas ainsi rédigés :
« … Relatifs à des personnes concernées qui se trouvent sur le territoire français par un responsable du traitement ou un sous-traitant qui n’est pas établi sur le territoire français, lorsque les activités de traitement sont liées :
« a) À l’offre de biens ou de services à ces personnes concernées sur le territoire français, qu’un paiement soit exigé ou non desdites personnes ;
« b) Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu sur le territoire français. »
La parole est à Mme Christine Lavarde.
Mme Christine Lavarde. Nous restons dans le même esprit.
Pour faciliter la compréhension de l’ensemble des acteurs, nous proposons, par cet amendement, d’utiliser le même vocabulaire que celui qui est utilisé par le règlement pour définir le champ d’application territorial de la loi Informatique et libertés, sans remettre en cause le cas spécifique des traitements effectués sur le territoire français.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. La commission sollicite le retrait de cet amendement.
Les dispositions résultant du présent projet de loi relatives au champ d’application de la loi française qui figureront dans le texte de la loi Informatique et libertés n’auront pas vocation à régir les traitements soumis au règlement, qui est d’application directe et fixe lui-même son champ d’application territorial.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Même avis.
Madame la sénatrice, le Gouvernement partage évidemment votre objectif d’utiliser le même vocable que le RGPD pour l’application territoriale de la loi Informatique et libertés. Nous y reviendrons plus longuement lors de l’examen de l’amendement déposé à l’article 8.
Actuellement, plusieurs champs d’application territoriale coexistent : celui du RGPD, avec des particularités pour les marges de manœuvre, celui de la directive, celui du hors champ pour le droit de l’Union européenne. Il me semble que votre amendement ne répond que partiellement à cet objectif de clarification. Tout l’objet de l’ordonnance pour laquelle une habilitation est demandée au Sénat est d’organiser, comme je l’ai dit dans mon propos introductif, la loi de 1978 en plusieurs titres, chaque titre ayant son champ d’application propre.
M. le président. Madame Lavarde, l’amendement n° 59 rectifié est-il maintenu ?
Mme Christine Lavarde. Non, je le retire avec conviction, puisque je constate que le problème est compris. Je lirai attentivement le texte de l’ordonnance.
M. le président. L’amendement n° 59 rectifié est retiré.
Article 8
(Non modifié)
Le chapitre Ier de la loi n° 78-17 du 6 janvier 1978 est complété par un article 5-1 ainsi rédigé :
« Art. 5-1. – Les règles nationales prises sur le fondement des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France.
« Toutefois, lorsqu’est en cause un des traitements mentionnés au 2 de l’article 85 du même règlement, les règles nationales mentionnées au premier alinéa du présent article sont celles dont relève le responsable de traitement, lorsqu’il est établi dans l’Union européenne. »
M. le président. L’amendement n° 13 rectifié septies, présenté par Mme Bruguière, MM. Sol, Henno et D. Laurent, Mme Deromedi, M. A. Marc, Mme Goy-Chavent, M. Bansard, Mme Garriaud-Maylam, M. Poniatowski, Mme Renaud-Garabedian, MM. de Nicolaÿ, Bonhomme et Milon, Mmes Billon et Bonfanti-Dossat, M. Bonne, Mme Bories, M. Brisson, Mme Eustache-Brinio, MM. B. Fournier, Guerriau, Lagourgue et Lefèvre, Mme Mélot, M. Bouchet, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi, est ainsi libellé :
I. – Alinéa 2
Remplacer les mots :
la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France
par les mots :
le traitement est effectué :
II. – Alinéa 3
Remplacer cet alinéa par cinq alinéas ainsi rédigés :
« 1° Dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que ce traitement ait lieu ou non en France ;
« 2° Ou par un responsable du traitement qui n’est pas établi sur le territoire français mais dans un lieu où le droit français s’applique en vertu du droit international public ;
« 3° Ou par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union européenne, dans la mesure où ce traitement est appliqué à des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire français, lorsque ce traitement est lié :
« a) À l’offre de biens ou de services à ces personnes concernées en France, qu’un paiement soit exigé ou non desdites personnes ;
« b) Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu sur le territoire français. »
La parole est à M. François Bonhomme.
M. François Bonhomme. Cet amendement vise à adapter le critère du champ d’application territorial de la loi n° 78-17 du 6 janvier 1978 lorsque celle-ci sera appliquée de façon complémentaire au nouveau règlement européen, dans le but de le rapprocher tout à la fois du critère d’application du règlement européen lui-même et du critère d’application de la même loi de 1978 lorsqu’elle est appliquée seule, indépendamment du règlement. Il résulte en effet de l’article 8 du projet de loi en sa rédaction actuelle un degré de complexité qui paraît incompatible avec les exigences de lisibilité et de bonne application de la loi, exigences d’autant plus impérieuses lorsque celle-ci vise à protéger les droits et libertés des personnes physiques.
L’article 8 prévoit, dans la version du projet de loi adoptée par l’Assemblée nationale, un champ d’application de la loi de 1978 centré sur la résidence de la personne dont les données sont traitées, dans les cas où cette loi vient préciser les dispositions du règlement en application des marges de manœuvre laissées aux États membres de l’Union européenne par ce dernier. Or le règlement européen se réfère systématiquement en principe au critère d’établissement non pas de la personne concernée, mais du responsable du traitement. Par exception, dans certains cas limités, le règlement européen sera par ailleurs applicable lorsque ce responsable de traitement sera établi hors de l’Union européenne, sous réserve que la personne concernée soit localisée en France, la notion de localisation se distinguant de celle de résidence.
Cet éclatement des critères risque d’entraîner une confusion importante dans l’application territoriale de la loi de 1978, notamment de la part des entreprises et organismes publics responsables de traitements, qui ne seront pas en mesure d’identifier facilement les règles de droit qui leur sont applicables.
Par ailleurs, le choix d’un critère de résidence de la personne concernée a pour effet d’imposer systématiquement la collecte de l’adresse de cette personne, même dans les cas où cette donnée n’est pas nécessaire pour la finalité poursuivie par le traitement, en contrariété avec le principe de minimisation de la collecte imposé par le règlement européen. Cela risque de faire peser une charge trop importante sur les responsables de traitement et sous-traitants de données à caractère personnel, mais également de porter une atteinte injustifiée à la vie privée des personnes concernées.
Enfin, un autre risque est de voir émerger des situations de conflits de lois inextricables entre le droit français et celui d’un autre État membre qui aurait choisi de retenir un autre critère pour l’application de sa loi nationale en complément du règlement européen. Ce risque de conflits de lois a été expressément souligné par la CNIL dans son avis du 30 novembre 2017 sur le projet de loi.
Il est par conséquent proposé d’aligner le champ d’application territorial de la loi de 1978, lorsqu’elle sera appliquée en complément du règlement européen, sur des critères analogues à ceux prévus par ce dernier. Cette réécriture aura également pour effet d’uniformiser le champ d’application territorial de la loi de 1978 selon qu’elle est appliquée seule ou en complément du règlement, renforçant ainsi la lisibilité du texte.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. La commission sollicite le retrait de cet amendement, qui vise à modifier le critère fixant le champ d’application territorial des règles françaises adaptant ou complétant le règlement.
M. Simon Sutour. Voilà !
Mme Sophie Joissains, rapporteur. Au critère du lieu de résidence de la personne concernée par le traitement des données, il entend substituer plutôt le critère du lieu d’établissement du responsable de traitement. Ce changement est contraire à la position de la commission, qui a maintenu le critère de résidence.
Comme le note justement l’étude d’impact du projet de loi, le « critère de l’établissement » aurait certes pour avantage premier de permettre au responsable de traitement de n’appliquer qu’un seul droit – cela permettrait de réduire certaines charges administratives et diminuerait la complexité juridique pour le responsable, et uniquement pour lui –, mais, dans une telle hypothèse, le droit applicable aux personnes concernées pourrait varier en fonction du lieu d’établissement principal du responsable de traitement ou de son sous-traitant. Concrètement, cela reviendrait à faire application du droit d’autres États membres pour des traitements de données qui touchent des résidents français.
Je donne un exemple. Si l’Irlande choisit comme âge de consentement des mineurs, en ce qui concerne l’offre directe de services de la société de l’information, l’âge de treize ans, ou si elle exclut l’action de groupe pour la réparation des dommages, ces dispositions s’appliqueront aux résidents français pour l’utilisation de services tels que Google ou Facebook, dont le siège des filiales européennes se trouve en Irlande.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. La question du champ d’application du RGPD constitue une innovation majeure par rapport à la directive de 1995. L’article 3 du règlement, comme cela vient d’être dit, prévoit en effet un double champ d’application.
D’une part, ce règlement est applicable aux traitements effectués dans le cadre des activités d’un établissement par un responsable de traitement ou un sous-traitant dès lors que celui-ci se trouve sur le territoire de l’Union, peu importe que le traitement d’ailleurs ait lieu ou non dans l’Union. Il s’agit donc en quelque sorte d’un critère organique.
D’autre part, le règlement est également applicable selon un critère matériel, peu importe que l’établissement soit alors sur le territoire de l’Union, dès lors que le traitement est effectué à l’égard des résidents européens. Il suffit alors que l’offre de biens ou de services à des personnes concernées se déroule dans l’Union ou que leur comportement dans l’Union soit suivi.
Le règlement a donc une cohérence globale vis-à-vis des responsables de traitement présents dans ou en dehors de l’Union. Il précise à cet égard, à son considérant 14, qu’il devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence en ce qui concerne le traitement de leurs données.
Si son champ d’application est déjà défini par le RGPD, il n’en est pas de même des marges de manœuvre des États membres octroyées par le règlement, qui devraient aussi l’être afin d’éviter des conflits de normes. C’est évidemment extrêmement important en cas de dispositions divergentes selon les législations nationales, comme l’a expliqué Mme la rapporteur.
En effet, se pose la question du critère à retenir pour la législation applicable entre États membres de l’Union en cas de divergences, compte tenu des choix différents dans l’exercice de ces marges de manœuvre qui sont permises par le règlement. Les enjeux sont importants en termes de protection des droits fondamentaux des personnes concernées, mais également d’attractivité des territoires, dès lors que la législation applicable peut constituer un critère très important pour une entreprise qui souhaite s’implanter à l’étranger.
L’article 8 du projet de loi prévoit ainsi de retenir pour l’application des marges de manœuvre, cela a déjà été dit, le critère de résidence de la personne concernée, à l’exception des traitements mentionnés à l’article 85.2 du règlement en matière de liberté d’expression et d’information, qui relèveraient du critère d’établissement du responsable de traitement. Son objet est donc clairement défini.
L’amendement proposé, au contraire, laisse subsister, si vous me permettez cette expression, une forme d’oubli. En effet, le 1° du II tend à proposer un critère qui est centré sur la localisation, en France, du responsable du traitement. Le 2° traite du cas particulier du droit français qui s’applique en vertu du droit international public. Le 3° concerne enfin exclusivement le cas où le responsable de traitement n’est pas établi dans l’Union européenne. Or ce cas est déjà réglé à l’article 3.2 du RGPD.
Ainsi, il manque, me semble-t-il, le plus important. Quel droit s’applique lorsque le responsable de traitement est dans l’Union européenne, mais hors de France, et que ses services s’appliquent à un résident en France ? Autrement dit, à quoi servent tous nos débats sur l’âge de consentement des mineurs ou sur les garanties relatives au NIR, aux données biométriques ou aux données de santé, si le droit qui est issu des marges de manœuvre des autres États membres venait alors à s’appliquer en France directement ?
En raison de cet oubli ou de ces incohérences, je demande le rejet du présent amendement.
M. le président. Monsieur Bonhomme, l’amendement n° 13 rectifié septies est-il maintenu ?
M. François Bonhomme. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 13 rectifié septies est retiré.
Je mets aux voix l’article 8.
(L’article 8 est adopté.)
M. le président. Madame la garde des sceaux, mes chers collègues, il est minuit. Je vous propose de prolonger nos travaux jusqu’à une heure, afin que nous allions plus avant dans l’examen du texte.
Il n’y a pas d’opposition ?…
Il en est ainsi décidé.
Chapitre II
Dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements
Article 9
I. – (Non modifié) L’article 22 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Art. 22. – Un décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, détermine les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu’ils portent sur des données comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. La mise en œuvre des traitements intervient sans préjudice des obligations qui incombent aux responsables de traitement ou à leurs sous-traitants en application de la section 3 du chapitre IV du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.
« N’entrent pas dans le champ d’application du premier alinéa du présent article ceux des traitements portant sur des données à caractère personnel parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ou qui requièrent une consultation de ce répertoire :
« 1° Qui ont exclusivement des finalités de statistique publique, sont mis en œuvre par le service statistique public et ne comportent aucune des données mentionnées au I de l’article 8 ou à l’article 9 ;
« 2° Qui ont exclusivement des finalités de recherche scientifique ou historique ;
« 3° Qui ont pour objet de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique définis à l’article 1er de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, mis en œuvre par l’État, une personne morale de droit public ou une personne morale de droit privé gérant un service public.
« Pour les traitements dont les finalités sont mentionnées aux 1° et 2° du présent article, le numéro d’inscription au répertoire national d’identification des personnes physiques fait préalablement l’objet d’une opération cryptographique lui substituant un code statistique non signifiant. Cette opération est renouvelée à une fréquence définie par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés. Les traitements ayant comme finalité exclusive de réaliser cette opération cryptographique ne sont pas soumis au premier alinéa.
« Pour les traitements dont les finalités sont mentionnées au 1°, l’utilisation du code statistique non signifiant n’est autorisée qu’au sein du service statistique public.
« Pour les traitements dont les finalités sont mentionnées au 2°, l’opération cryptographique et, le cas échéant, l’interconnexion de deux fichiers par l’utilisation du code spécifique non signifiant qui en est issu ne peuvent être assurées par la même personne ni par le responsable de traitement.
« À l’exception des traitements mentionnés au deuxième alinéa de l’article 55, le présent article n’est pas applicable aux traitements de données à caractère personnel dans le domaine de la santé qui sont régis par le chapitre IX. »
II. – (Non modifié) L’article 27 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Art. 27. – Sont autorisés par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes. »
III. – (Non modifié) Les articles 23 à 25 de la loi n° 78-17 du 6 janvier 1978 précitée sont abrogés.
IV (nouveau). – L’article 226-16-1 A du code pénal est abrogé. Il demeure applicable, dans sa rédaction résultant de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, aux faits commis avant la date d’entrée en vigueur du présent article pour lesquels l’action publique avait été valablement exercée avant cette même date.
M. le président. L’amendement n° 129, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :
Compléter cet article par un paragraphe ainsi rédigé :
… – Sauf changement survenu sur la portée, les finalités, les données à caractère personnel collectées, l’identité des responsables du traitement ou des destinataires des données, la durée de conservation des données, les mesures techniques et organisationnelles, les traitements autorisés antérieurs au 25 mai 2018 et toujours en cours bénéficient d’une présomption de conformité aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
La parole est à M. Jérôme Durain.
M. Jérôme Durain. Le règlement est applicable à partir du 25 mai 2018. L’ensemble des traitements existants devront donc être conformes au règlement à cette date.
Le présent amendement a pour objet de prendre en compte la situation des traitements en cours dans une optique de sécurité juridique et de simplification, en particulier pour les acteurs économiques récents et de petite taille.
Cet amendement s’inscrit dans l’esprit du considérant 171, qui prévoit déjà une série d’exceptions pour garantir le maintien dans les mêmes conditions des traitements en cours, lorsqu’ils ont été déclarés ou a fortiori autorisés avant l’entrée en application du RGPD.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. La commission souhaiterait connaître l’avis du Gouvernement.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Cet amendement est contraire au règlement : aux termes de l’article 99, l’ensemble des traitements existants devront être conformes au règlement à la date du 25 mai 2018.
Sur l’application dans le temps aux traitements en cours, le règlement a prévu uniquement le cas des accords conclus par les États membres. Lors des négociations, le gouvernement français avait voulu obtenir une clause relativement aux traitements en cours, sans succès. Le considérant 171 du règlement prévoit néanmoins que certains traitements qui sont mis en œuvre conformément au droit national antérieur au 25 mai 2018 pourront bénéficier de la présomption de conformité au règlement jusqu’à leur modification, remplacement ou abrogation, à savoir, d’une part, les traitements ayant pour condition de licéité le consentement de la personne concernée si ce consentement a été donné dans les conditions prévues par le règlement et, d’autre part, les traitements soumis aux autorisations de la CNIL relatives à des transferts de données en dehors de l’Union européenne.
Ainsi, le règlement ne permet pas une très grande souplesse si les traitements n’ont pas été modifiés au 25 mai 2018. Le projet de loi ne prévoit donc pas de mesure relative aux traitements en cours. La Commission européenne est d’ailleurs très vigilante sur ce point et pourrait sanctionner toute disposition en ce sens.
Toutefois, dans ses lignes directrices, le G29, le groupe de travail qui rassemble les « CNIL » européennes, donne une portée plus importante à ce considérant 171, puisqu’il estime qu’aucune analyse d’impact n’est nécessaire pour les opérations de traitement qui ont fait l’objet d’un examen par la CNIL. Par conséquent, il me semble que la question se réglera plutôt dans le cadre de la pratique de la CNIL. À cet égard, celle-ci a d’ores et déjà indiqué, par exemple, qu’une analyse d’impact ne sera pas exigée pour les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018.
Il est en revanche impossible, me semble-t-il, de prévoir expressément dans la loi une disposition en ce sens. Pour cette raison, le Gouvernement sollicite le retrait de cet amendement ; à défaut, il émettra un avis défavorable.
M. le président. Monsieur Durain, l’amendement n° 129 est-il maintenu ?
M. Jérôme Durain. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 129 est retiré.
Je mets aux voix l’article 9.
(L’article 9 est adopté.)
Chapitre III
Obligations incombant aux responsables de traitement et à leurs sous-traitants
Article additionnel avant l’article 10
M. le président. L’amendement n° 39, présenté par Mme M. Carrère, est ainsi libellé :
Avant l’article 10
Insérer un article additionnel ainsi rédigé :
La loi n° 78–17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifiée :
1° L’article 3 est complété par un paragraphe ainsi rédigé :
« … – Les personnes concernées par un traitement de données personnelles sont informées de l’identité et de la localisation de la personne responsable du traitement, et le cas échéant, de celles des sous-traitants opérant sous sa responsabilité préalablement au recueil de leur consentement à l’utilisation de données personnelles, mais également en cas de changement de l’identité du responsable ou d’un sous-traitant. » ;
2° Le quatrième alinéa de l’article 35 est complété par une phrase ainsi rédigée : « Lorsque le sous-traitant est établi dans un État différent de l’État du responsable du traitement, ce contrat est communiqué aux personnes concernées par le traitement. »
La parole est à Mme Maryse Carrère.