Mme Nicole Belloubet, garde des sceaux. L’entrée en vigueur du RGPD le 25 mai 2018 rompra avec la logique des formalités préalables. Les hypothèses dans lesquelles une autorisation préalable de la CNIL est requise sont désormais résiduelles et limitées aux traitements de données les plus sensibles, concernant par exemple les fichiers dits « de souveraineté » ou ceux qui comportent des données biométriques ou génétiques.
Dans un contexte marqué notamment par des attentats très douloureux, comme ceux qui ont été commis par Mohammed Merah contre des militaires, ainsi que par un risque sécuritaire accru, le ministère de la défense a souhaité renforcer la sécurité des militaires, en encadrant les conditions dans lesquelles les traitements de données à caractère personnel peuvent comporter la mention de la qualité de militaire et certaines informations ayant trait à leur vie privée.
Le dispositif mis en œuvre au travers de l’article 117 de la loi du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale prévoit ainsi un régime d’autorisation auprès de la CNIL pour mettre en œuvre un fichier dont la finalité est fondée sur la qualité de militaire des personnes qui y figurent. Il prévoit également la réalisation d’une enquête administrative sur la personne responsable du traitement ainsi que sur toutes celles qui peuvent accéder aux données comportant la mention de la qualité de militaire.
Enfin, des prescriptions techniques peuvent être imposées aux opérateurs privés concernés par le dispositif, telles que le renforcement de la sécurité des outils informatiques utilisés.
Dans un souci d’allégement des formalités préalables et des sujétions imposées aux opérateurs privés, le présent amendement prévoit de refondre ce dispositif.
Conformément à l’article 5.1 du RGPD, le responsable d’un traitement ne pourra conserver la mention de la qualité de militaire des personnes dont les données sont traitées que si celle-ci est strictement nécessaire à l’une des finalités du traitement. Une campagne de sensibilisation des opérateurs privés sera, à ce titre, réalisée par le ministère des armées.
Pour les traitements dont l’une des finalités requiert absolument la mention de la qualité de militaire, les responsables de traitement seront uniquement tenus d’informer le ministre compétent de leur mise en œuvre et ils ne seront plus soumis à un régime d’autorisation ou de déclaration auprès de la CNIL.
En outre, à la différence de ce que prévoit le dispositif actuel, l’obligation d’information ne pèsera pas sur les collectivités territoriales et leurs groupements, non plus que sur les associations à but non lucratif.
Par ailleurs, le ministère des armées pourra, le cas échéant, décider de s’assurer de la sécurité des traitements en cause en procédant à une enquête administrative sur les personnes qui accèdent aux données personnelles des militaires, sans que cette enquête constitue toutefois une obligation.
Ce projet d’article tend ainsi à concilier l’impératif de sécurité des militaires, qui a prévalu à la mise en œuvre de ce dispositif, et l’objectif d’allégement des obligations pesant sur les opérateurs privés.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Cet amendement répond à un objectif parfaitement légitime : refondre le régime d’autorisation des fichiers mentionnant la qualité de militaire, dans un souci d’efficacité.
Je me permets néanmoins de mettre en garde le Gouvernement contre le risque de législation précipitée. Cet amendement, qui est présenté par le Gouvernement pour la première fois en séance publique devant la seconde assemblée saisie, vise à récrire le cadre légal de ces fichiers, qui, lui-même, résulte de l’adoption d’un amendement déposé tardivement en séance publique, lors de l’examen par le Sénat de la loi du 3 juin 2016.
J’espère que, cette fois, le régime a été davantage pensé et qu’il ne présentera pas tous les inconvénients du précédent !
Mme Sophie Joissains, rapporteur. Dans ces conditions, l’avis est favorable. (Nouveaux sourires.)
M. le président. La parole est à M. Cédric Perrin, pour explication de vote.
M. Cédric Perrin. Je voudrais inciter mes collègues à vaincre la réticence, la répugnance même, qu’inspire un amendement déposé aussi tardivement par le Gouvernement. Je les invite à voter en faveur de son adoption, en considération de son objet même et de l’enjeu non seulement pour les armées, mais aussi pour les opérateurs privés. Il s’agit de recalibrer un dispositif protecteur de l’identité des militaires, relevant certes d’une bonne inspiration, mais mal dosé.
En l’état, c’est un marteau-pilon pour écraser une mouche. Sa mise en œuvre obligerait la Direction du renseignement et de la sécurité de la défense, la DRSD, et le service de renseignement interne du ministère des armées à procéder à 300 000 criblages par an, ce qui ferait également peser une charge disproportionnée sur les acteurs économiques et la CNIL. Le Gouvernement propose de remplacer ce système par un autre, mieux proportionné, qui restera crédible et efficace pour la protection des militaires : la mention de la qualité de militaire ne sera maintenue que si elle est indispensable et une enquête sera possible, mais non obligatoire.
M. le président. La parole est à Mme Nathalie Goulet, pour explication de vote.
Mme Nathalie Goulet. Pour avoir longtemps siégé à la commission des affaires étrangères, de la défense et des forces armées, je pense moi aussi qu’il s’agit d’un excellent amendement.
Vous le savez, madame la garde des sceaux, a été mise en place au Sénat une commission d’enquête sur l’état des forces de sécurité intérieure, qui comprend nos forces de police et de gendarmerie, auxquelles il faut évidemment ajouter le personnel de l’administration pénitentiaire.
Cette excellente disposition ne concerne-t-elle que les militaires ou avez-vous l’intention d’étendre son champ d’application aux gendarmes et aux policiers ? Ce serait peut-être une bonne idée. L’ensemble de nos forces de police et de sécurité mériterait bien de bénéficier de cette mesure de protection.
Quoi qu’il en soit, je soutiens cet amendement.
M. le président. La parole est à M. Marc Laménie, pour explication de vote.
M. Marc Laménie. Mme la garde des sceaux nous a fourni une explication tout à fait pédagogique et bienvenue. Cet amendement du Gouvernement intervient dans un contexte très particulier, la lutte contre le terrorisme mobilisant les militaires et l’ensemble des forces de sécurité intérieure qui œuvrent au quotidien pour la défense des personnes et des biens, telles que la police et la gendarmerie nationales, ainsi que les sapeurs-pompiers. Je le soutiens.
M. le président. En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 13 bis.
Chapitre V
Dispositions particulières relatives aux droits des personnes concernées
Article 14 AA
(Non modifié)
Au premier alinéa de l’article 7 de la loi n° 78-17 du 6 janvier 1978 précitée, après le mot : « concernée », sont insérés les mots : « , dans les conditions mentionnées au 11 de l’article 4 et à l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ». – (Adopté.)
Articles additionnels après l’article 14 AA
M. le président. Je suis saisi de trois amendements faisant l’objet d’une discussion commune.
L’amendement n° 8 rectifié septies, présenté par Mme Bruguière, M. Bansard, Mme Goy-Chavent, M. A. Marc, Mme Deromedi, MM. D. Laurent, Henno, Sol et Grand, Mme Garriaud-Maylam, M. Poniatowski, Mme Renaud-Garabedian, MM. de Nicolaÿ, Bonhomme et Milon, Mmes Billon et Bonfanti-Dossat, M. Bonne, Mme Bories, MM. Brisson et Chasseing, Mme Eustache-Brinio, MM. B. Fournier, Guerriau et Lagourgue, Mme Lamure, M. Lefèvre, Mme Mélot, M. Bouchet, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi, n’est pas soutenu.
L’amendement n° 68 rectifié, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :
Après l’article 14 AA
Insérer un article additionnel ainsi rédigé :
L’article 7 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par un alinéa ainsi rédigé :
« Pour être valide, le consentement de la personne concernée doit résulter d’une action volontaire, explicite, libre, spécifique et informée. Cela implique notamment que son consentement ne soit pas exigé en contrepartie d’un bien ou d’un service, à moins que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou service. »
La parole est à Mme Esther Benbassa.
Mme Esther Benbassa. Selon l’article 7 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, un traitement de données à caractère personnel, pour être licite, doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions énumérées par cette loi.
Notre amendement a pour objet de préciser la notion de consentement. Nous reprenons, pour ce faire, les préconisations de la CNIL et du G29, le groupe de travail de l’article 29 sur la protection des données, et proposons que soit précisé dans la loi que « le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée ». Cela implique notamment que son consentement ne soit pas exigé en contrepartie d’un bien ou d’un service.
M. le président. L’amendement n° 37 rectifié, présenté par Mme M. Carrère, est ainsi libellé :
Après l’article 14 AA
Insérer un article additionnel ainsi rédigé :
L’article 7 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par un alinéa ainsi rédigé :
« Le fait d’exiger d’une personne qu’elle autorise l’utilisation de ses données personnelles en contrepartie d’un bien ou d’un service, à moins que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou service, constitue un vice de consentement. »
La parole est à Mme Maryse Carrère.
Mme Maryse Carrère. La question du consentement à la collecte de données personnelles est un sujet fondamental, qui va probablement prendre encore plus d’ampleur avec la multiplication des utilisations de ces données.
Jusqu’à présent, la méfiance de nos concitoyens a essentiellement porté sur les fichiers constitués par les pouvoirs publics, notamment les fichiers policiers.
La prise de conscience de la valeur financière que représente la masse des données personnelles progressivement accumulées dans le secteur privé alimente des revendications visant à permettre aux individus de monnayer la commercialisation de leurs données personnelles.
Cette revendication, qui peut apparaître légitime, remet cependant en question le financement des sites internet gratuits, qui se rémunèrent souvent via la publicité ciblée à partir de données personnelles collectées par eux-mêmes ou par ailleurs. En quelque sorte, les usagers de sites internet sont déjà rémunérés pour le transfert de données personnelles par la consommation gratuite de services qui ont des coûts de maintenance et de main-d’œuvre. Ces sites soulignent d’ailleurs souvent l’attachement des citoyens européens à la gratuité : 80 % d’entre eux y seraient favorables.
Pour autant, il nous semble important de réfléchir dès à présent à l’accompagnement vers un nouveau mode de financement des services consommateurs de données personnelles qui soit plus respectueux de la notion juridique de consentement. Aujourd’hui, celui-ci est réduit à une simple formalité impérative pour l’accès à un service.
Dans cette perspective, cet amendement vise à instaurer un vice du consentement s’il est exigé de la personne qu’elle autorise l’utilisation de ses données personnelles en contrepartie d’un bien ou d’un service, à moins, évidemment, que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou de ce service.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Nous demandons le retrait de ces deux amendements, qui visent à compléter la loi Informatique et libertés en vue de préciser les conditions de validité du recueil du consentement. Le nouveau règlement général sur la protection des données comporte une définition très précise du consentement et détaille en outre, au sein d’un article spécifique, les conditions applicables à la validité de son recueil.
Comme l’a rappelé encore récemment la Commission européenne dans une communication dédiée à l’entrée en vigueur du RGPD, selon une jurisprudence constante de la Cour de justice de l’Union européenne, il n’est pas seulement inutile, mais bel et bien interdit, de reproduire le contenu d’un règlement européen dans le droit national.
M. le président. Quel est l’avis du Gouvernement ?
M. le président. Madame Benbassa, l’amendement n° 68 rectifié est-il maintenu ?
Mme Esther Benbassa. Oui, je le maintiens, monsieur le président.
M. le président. L’amendement n° 38 rectifié, présenté par Mme M. Carrère, est ainsi libellé :
Après l’article 14 AA
Insérer un article additionnel ainsi rédigé :
L’article 7 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par un alinéa ainsi rédigé :
« Le droit d’utiliser des données personnelles à des fins commerciales n’est pas cessible sans le consentement de la personne concernée. »
La parole est à Mme Maryse Carrère.
Mme Maryse Carrère. Cet amendement s’inscrit dans la même logique que le précédent. Il s’agit de mettre en place de nouveaux outils juridiques en vue de mieux protéger le consentement des personnes à l’utilisation de leurs données personnelles à des fins commerciales.
Comme je viens le dire, cette réflexion doit se mener de pair avec celle portant sur le financement des services en ligne proposés aujourd’hui gratuitement, du moins en apparence.
En l’occurrence, il s’agit d’imposer le recueil du consentement au moment d’une cession de données personnelles à des fins d’utilisation commerciale.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Cet amendement vise à introduire des concepts et des interdictions qui ne sont pas ceux qui sont prévus par le RGPD, lequel régit déjà précisément les conditions de traitement des données, fondées sur le consentement, et encadre de multiples garanties –respect des finalités, exercice des droits – les éventuels retraitements ultérieurs.
En conséquence, nous demandons le retrait de cet amendement.
M. le président. Quel est l’avis du Gouvernement ?
M. le président. Madame Carrère, l’amendement n° 38 rectifié est-il maintenu ?
Mme Maryse Carrère. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 38 rectifié est retiré.
Je suis saisi de trois amendements faisant l’objet d’une discussion commune.
L’amendement n° 54 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :
Après l’article 14 AA
Insérer un article additionnel ainsi rédigé :
La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux fichiers et aux libertés est complétée par un article 7-… ainsi rédigé :
« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.
« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.
« Le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de quinze jours.
« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles s’exerce ce consentement conjoint. »
L’amendement n° 75 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :
Après l’article 14 AA
Insérer un article additionnel ainsi rédigé :
La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complétée par un article 7-… ainsi rédigé :
« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.
« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.
« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles s’exerce ce consentement conjoint. »
L’amendement n° 76 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :
Après l’article 14 AA
Insérer un article additionnel ainsi rédigé :
La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complétée par un article 7-… ainsi rédigé :
« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.
« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.
« Le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. »
La parole est à M. Jean-Pierre Decool, pour présenter ces trois amendements.
M. Jean-Pierre Decool. Sans revenir sur la décision de la commission de maintenir l’âge du consentement à seize ans, cet amendement vise à mieux encadrer la procédure de consentement conjoint prévue à l’article 8 du RGPD : « Ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. »
En effet, le RGPD est très flou en la matière, son article 8 stipulant que « le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles ».
Que recouvre la notion d’« effort raisonnable » ? Comment définir les « moyens technologiquement disponibles », ceux-ci n’étant pas les mêmes pour l’ensemble des entreprises au même moment ?
La loi américaine, au travers du Children’s Online Privacy Protection Act, est paradoxalement beaucoup plus précise et protectrice en matière de consentement parental.
Sans faire peser un fardeau normatif trop lourd sur les responsables de traitement, la procédure de consentement conjoint devrait être mieux définie en droit français, pour mieux protéger à la fois les mineurs et les titulaires de l’autorité parentale. Tel est l’objet de l’amendement n° 54 rectifié bis.
Premièrement, celui-ci prévoit qu’un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, devra préciser les conditions dans lesquelles s’exerce ce consentement conjoint : informations à communiquer, procédure à suivre pour obtenir l’effacement des données.
Deuxièmement, il prévoit que le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de quinze jours. En effet, des données personnelles à la fois des parents et du mineur pourront être recueillies lors de cette procédure, que l’entreprise n’a aucune raison de conserver si ce consentement n’est pas in fine donné.
Les amendements nos 75 rectifié bis et 76 rectifié bis sont des amendements de repli.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Ces amendements sont en partie satisfaits par le règlement général sur la protection des données personnelles, dont je rappelle qu’il fixe par défaut l’âge de consentement des mineurs à seize ans. Il est interdit par la jurisprudence de la Cour de justice de l’Union européenne de recopier ces dispositions dans le droit national.
Je sollicite donc le retrait des amendements.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Comme l’a expliqué Mme la rapporteur, la marge de manœuvre ménagée par l’article 8.1 du RGPD permet aux États membres de prévoir par la loi un âge inférieur, mais non de préciser les conditions de recueil du consentement.
Comme le précise l’objet de l’amendement n° 54 rectifié bis, l’obligation fixée à l’article 8.2 est celle d’un effort raisonnable, ce qui implique une obligation de moyens.
Préciser par un décret, comme il est suggéré, les conditions applicables au recueil du consentement pourrait remettre en cause plusieurs objectifs du règlement de 2016, s’agissant notamment de l’harmonisation et de la responsabilisation. Par ailleurs, un décret en Conseil d’État ne paraît pas être l’outil le plus adapté. Les services de la société de l’information concernés évoluent très rapidement, alors que l’outil proposé reste relativement rigide.
En outre, les autorités de protection des données, réunies au sein du G29, ont précisé les conditions de ce consentement dans un avis récent, plus évolutif. Une nouvelle version de cet avis devrait d’ailleurs être publiée prochainement, à la suite de la consultation publique menée par ces autorités.
Par ailleurs, les auteurs de l’amendement proposent de prévoir un effacement des données à caractère personnel collectées si le consentement n’est pas donné dans un délai de quinze jours. Ce délai ne me semble pas souhaitable : si le consentement n’est pas accordé, il n’y a aucune utilité à conserver les données plus longtemps que nécessaire. De ce point de vue, le G29 rappelle l’application de l’article 5.1, posant le principe de mutualisation des données, dans le cadre de la mise en œuvre du règlement général sur la protection des données.
Pour toutes ces raisons, j’émets un avis défavorable sur les trois amendements.
M. le président. Monsieur Decool, les amendements nos 54 rectifié bis, 75 rectifié bis et 76 rectifié bis sont-ils maintenus ?
M. Jean-Pierre Decool. Non, je les retire, monsieur le président.
M. le président. Les amendements nos 54 rectifié bis, 75 rectifié bis et 76 rectifié bis sont retirés.
L’amendement n° 26 rectifié ter, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :
Après l’article 14 AA
Insérer un article additionnel ainsi rédigé :
Après le premier alinéa de l’article L. 341-1 du code de la propriété intellectuelle, il est inséré un alinéa ainsi rédigé :
« Le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise. »
La parole est à M. Jean-Pierre Decool.
M. Jean-Pierre Decool. Cet amendement, identique à un amendement rejeté en première lecture à l’Assemblée nationale, tend à créer des droits moraux sur les données personnelles diffusées en ligne.
À l’instar du droit de la propriété intellectuelle existant pour les écrits, il semble logique de créer un droit de la propriété intellectuelle pour les écrits publiés en ligne, sur un blog ou sur un réseau social.
Il convient de reconnaître que l’Internet et les réseaux sociaux, média d’expression moderne, sont aujourd’hui un foyer de création artistique et intellectuelle. L’amendement vise à reconnaître cette création numérique et à accorder aux citoyens un droit d’exploitation des données numériques.
Au-delà de la création de données personnelles, il tend à créer un droit moral sur les données – nom, coordonnées, historique de navigation –, pouvant être légué aux héritiers ou à des tiers, afin d’encourager une gestion prudente des données personnelles. Il n’est en effet pas normal que ces données soient aujourd’hui exploitées sans vergogne par des opérateurs extérieurs, alors que la grande majorité des utilisateurs n’ont pas connaissance de leur existence et de leur utilisation.