M. le président. L’amendement n° 103, présenté par le Gouvernement, est ainsi libellé :
Alinéa 12
Supprimer cet alinéa.
La parole est à Mme la garde des sceaux.
Mme Nicole Belloubet, garde des sceaux. Le présent amendement vise à supprimer l’obligation, ajoutée en commission des lois, d’une autorisation préalable de la Commission nationale de l’informatique et des libertés pour tout traitement non mis en œuvre par l’État dans le champ de la directive.
En effet, cette autorisation préalable n’est nullement exigée par l’article 28 de la directive, qui prévoit des garanties suffisantes pour la protection des droits et des libertés des personnes concernées par ces traitements.
Le projet de loi exige ainsi la réalisation d’une analyse d’impact dès lors que le traitement est susceptible de créer un risque élevé pour les droits et libertés des personnes physiques, notamment chaque fois qu’il porte sur des données sensibles. Il exige aussi la consultation de la CNIL si les conclusions de cette analyse d’impact montrent que le traitement est susceptible de présenter des risques élevés pour les libertés et droits des personnes concernées.
Au reste, ces garanties sont maintenues dans le texte de la commission des lois, ce qui n’est pas cohérent à partir du moment où est exigé le rétablissement d’une autorisation préalable de la CNIL pour tous les traitements.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Cet amendement vise à revenir sur la position de la commission, qui a choisi de maintenir un niveau élevé de protection des données personnelles en matière pénale, en conservant le régime d’autorisation préalable qui existe actuellement.
La commission considère que la simple possibilité de réaliser une analyse d’impact laissée à l’appréciation des personnes morales n’est pas une garantie suffisante s’agissant de fichiers en matière pénale.
Je rappelle que le considérant 15 de la directive affirme que « le rapprochement des législations des États membres ne devrait pas conduire à un affaiblissement de la protection des données à caractère personnel qu’elles offrent » et qu’il convient que « les États membres ne soient pas empêchés de prévoir des garanties plus étendues que celles établies dans la présente directive. »
Sur l’invitation du Conseil d’État, l’article 19 du projet de loi maintient désormais une autorisation préalable pour les seuls fichiers mis en œuvre pour le compte de l’État. Il convient également de maintenir ce régime pour les fichiers mis en œuvre par les autres personnes morales, qui peuvent être tout aussi dangereux pour les droits et libertés des personnes.
La commission des lois a estimé que, en matière pénale, tout fichier entrant dans le champ d’application de la directive doit être autorisé préalablement : le droit actuel doit être maintenu et non affaibli !
En conséquence, la commission émet un avis défavorable sur cet amendement.
M. le président. L’amendement n° 104, présenté par le Gouvernement, est ainsi libellé :
Alinéa 13
Supprimer les mots :
, dans les conditions prévues au 7 de l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité
La parole est à Mme la garde des sceaux.
Mme Nicole Belloubet, garde des sceaux. Cet amendement vise à supprimer le renvoi opéré au règlement pour définir le contenu de l’analyse d’impact devant être réalisée préalablement au traitement par le responsable. En effet, le contenu de l’analyse d’impact exigé par l’article 27 de la directive diffère de celui qui est prévu par le règlement.
Ainsi, la directive n’impose pas une description systématique des finalités du traitement, ni une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard de ces finalités.
Le contenu de l’analyse d’impact, de nature réglementaire, sera précisé dans le décret.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Je reste inquiète quant à l’absence de définition législative du contenu de l’analyse d’impact, mais je comprends la volonté du Gouvernement de la préciser par décret plutôt que par renvoi au règlement européen.
La commission a émis un avis favorable sur cet amendement.
M. le président. L’amendement n° 69, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :
Alinéa 15
Après le mot :
consulte
insérer les mots :
pour avis
La parole est à Mme Esther Benbassa.
Mme Esther Benbassa. Nous nous réjouissons que ce projet de loi ait été amélioré lors de son examen par la commission des lois, notamment avec l’ajout d’un volet propre aux collectivités territoriales. En effet, initialement absentes du projet de loi, ces dernières sont largement concernées par le traitement des données personnelles, puisqu’elles gèrent en leur sein de nombreux fichiers donnant lieu à de nombreuses obligations lourdement sanctionnées en cas de non-respect.
C’est pourquoi nous proposons, avec cet amendement, que soient clarifiées les modalités de saisine de la CNIL.
L’alinéa 15 de l’article 19 permet actuellement aux responsables de traitement ou sous-traitants de consulter la CNIL préalablement au traitement de certaines données à caractère personnel.
Nous souhaitons, et relayons en cela une attente de l’Assemblée des départements de France, que cette consultation de la CNIL soit assortie d’un avis de cette même commission, afin que les collectivités territoriales, notamment, soient épaulées et sécurisées dans leurs activités de traitement de données personnelles.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. La possibilité de consulter la CNIL est d’ores et déjà prévue, qu’il s’agisse de recueillir son avis ou son autorisation. Il ne me semble donc pas utile d’ajouter les mots : « pour avis », qui pourraient avoir pour effet de restreindre le champ de sa consultation.
En tout état de cause, le texte de la commission est de nature à vous rassurer, car il est prévu, quelques alinéas plus haut, l’autorisation, obligation et préalable, de la CNIL à tout traitement de données en matière pénale.
C’est pourquoi la commission sollicite le retrait de cet amendement.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Même avis sur l’avis de la CNIL ! (Sourires.)
Le Gouvernement demande lui aussi le retrait de cet amendement.
M. le président. Madame Benbassa, l’amendement n° 69 est-il maintenu ?
Mme Esther Benbassa. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 69 est retiré.
L’amendement n° 132, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :
Alinéa 25
Supprimer les mots :
, dans la mesure du possible,
La parole est à M. Jérôme Durain.
M. Jérôme Durain. Le nouvel article 70-8 inséré dans la loi du 6 janvier 1978 par l’article 19 du présent projet de loi prévoit que les données à caractère personnel figurant dans les traitements en matière pénale mis en œuvre par les autorités compétentes devront, « dans la mesure du possible », distinguer celles qui sont fondées sur des faits de celles qui reposent sur des appréciations personnelles. Plus qu’un principe général, l’exactitude des données est un principe fondateur du droit de la protection des données personnelles.
Le 4° de l’article 6 de la loi Informatique et libertés, qui définit les conditions de licéité d’un traitement de données à caractère personnel, précise qu’un traitement ne peut porter que sur des données à caractère personnel « exactes, complètes et, si nécessaire, mises à jour ». Il impose en outre que des mesures appropriées soient prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.
Il est impératif en matière pénale, pour les traitements mis en œuvre par la police et les autorités judiciaires, de distinguer les données à caractère personnel fondées sur des faits de celles qui reposent sur une appréciation subjective.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Je partage pleinement l’objectif des auteurs de cet amendement, à savoir garantir le principe d’exactitude des données et différencier les données fondées sur des faits de celles qui sont fondées sur des appréciations. Néanmoins, la suppression des mots : « dans la mesure du possible » me semble, en l’espèce, difficile à appliquer en pratique.
C’est pourquoi j’émets un avis de sagesse.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Pour les mêmes raisons que Mme la rapporteur, j’émets quant à moi un avis défavorable sur cet amendement.
M. le président. L’amendement n° 105, présenté par le Gouvernement, est ainsi libellé :
Alinéas 26 à 28
Rédiger ainsi ces alinéas :
« Art. 70-9. – Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.
« Aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée.
« Tout profilage qui entraîne une discrimination à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l’article 8 est interdit.
La parole est à Mme la garde des sceaux.
Mme Nicole Belloubet, garde des sceaux. Pour les mêmes motifs que l’amendement visant l’article 14 du projet de loi, le Gouvernement souhaite revenir au texte initial sur les traitements automatisés des données. Le texte adopté par la commission des lois perd en effet en lisibilité, du fait de la multiplication des renvois au règlement, au code pénal et à la loi du 27 mai 2008.
En outre, les précisions qui sont apportées sur le profilage discriminatoire apparaissent insuffisantes, car elles ne renvoient pas à la totalité des dispositions pénales applicables aux discriminations, notamment en matière de harcèlement sexuel.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Il s’agit encore une fois du problème du profilage. La commission des lois, dans un souci d’harmonisation entre le droit national et le droit européen, a choisi de renvoyer à la définition du profilage donné par le règlement général sur la protection des données.
Ce règlement définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
La définition proposée par le Gouvernement est la suivante : « Un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne ».
La rédaction votée par la commission est plus complète, donc plus protectrice des libertés individuelles. Surtout, le Gouvernement n’a pas transposé un point essentiel de la directive, à savoir l’interdiction de prendre des décisions exclusivement fondées sur un algorithme lorsqu’elles affectent les individus de manière significative, et pas seulement lorsqu’elles produisent des effets juridiques.
Par conséquent, la commission émet un avis défavorable sur cet amendement.
M. le président. L’amendement n° 106, présenté par le Gouvernement, est ainsi libellé :
Alinéa 34, seconde phrase
Après le mot :
vérifie
insérer les mots :
, dans la mesure du possible,
La parole est à Mme la garde des sceaux.
Mme Nicole Belloubet, garde des sceaux. Le présent amendement vise à rétablir l’obligation de moyens imposée par la directive aux autorités compétentes en matière de vérification des données avant leur transmission ou mise à disposition.
La directive impose en effet aux autorités compétentes de vérifier, dans la mesure du possible, la qualité des données. Leur imposer une obligation de résultat, telle qu’elle a été adoptée en commission des lois, m’apparaît disproportionné, car cela impliquerait que la transmission de bonne foi d’une donnée qui ne serait plus à jour, y compris dans les cas où l’autorité compétente ne pouvait pas le savoir, pourrait faire l’objet d’une sanction de la CNIL, voire d’une sanction pénale dans certains cas.
Ainsi, la transmission de la fiche du casier judiciaire d’une personne française à des autorités judiciaires étrangères pourrait engager la responsabilité du gestionnaire de casier, si cette fiche n’est pas à jour des condamnations, alors même qu’un délai de quelques semaines existe entre leur prononcé par une juridiction et leur inscription au casier.
Le rétablissement de l’obligation de moyens prévu par la directive paraît d’autant plus justifié que le projet de loi fixe des garanties pour s’assurer de la fiabilité des délais. En particulier, dès que l’autorité compétente prend connaissance de l’inexactitude d’une donnée transmise, elle doit en aviser le destinataire.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Cet amendement tend à revenir sur l’obligation, pour les services, de vérifier la qualité des informations avant leur transmission à des tiers.
Contrairement à ce qui est avancé dans l’objet de l’amendement, il ne s’agit pas ici de sanctionner les erreurs de bonne foi. Néanmoins, il est évident qu’au moins avant transfert des données, leur qualité et, surtout, leur légalité soient examinées, et cela de façon très sérieuse.
Considérer une telle obligation disproportionnée semble suggérer que l’on n’avait pas forcément l’intention d’organiser la vérification régulière de la qualité de ces données avant leur transmission, ce qui serait inquiétant.
Pour ces raisons, la commission émet un avis défavorable sur cet amendement.
M. le président. L’amendement n° 107, présenté par le Gouvernement, est ainsi libellé :
Alinéa 37
Après le mot :
établit
insérer les mots :
dans la mesure du possible et le cas échéant
La parole est à Mme la garde des sceaux.
Mme Nicole Belloubet, garde des sceaux. Je ne désespère pas ! (Sourires.)
Pour les mêmes motifs que l’amendement précédent, le présent amendement vise également à rétablir l’obligation de moyens, et non de résultat, imposée par la directive aux responsables de traitement dans la distinction des données en fonction des différentes catégories de personnes concernées.
Imposer au responsable du traitement de tout mettre en œuvre pour distinguer les données selon que la personne concernée est mise en cause dans une procédure pénale, coupable, victime ou tiers à une infraction pénale, constitue une stricte transposition de la directive et une garantie suffisante pour les personnes.
Maintenir l’obligation de résultat adoptée par la commission des lois paraît, je crois, excessif. Une telle obligation reviendrait par exemple à pouvoir reprocher un manquement à un responsable de traitement qui n’aurait pas été immédiatement informé de ce que la personne initialement suspectée d’être l’auteur d’une infraction a été ensuite mise hors de cause et est donc devenue un tiers à l’infraction pénale.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Cet amendement tend à revenir sur l’obligation, pour les responsables de traitement, de distinguer les données en fonction de la qualité des personnes concernées – victimes, tiers, mis en cause.
Pourtant, les durées de conservation et même les droits diffèrent en fonction de la qualité de ces personnes, selon qu’elles sont victimes ou mises en cause. Il semble donc évident de prévoir que ces fichiers doivent rigoureusement distinguer la qualité de ces personnes.
En conséquence, la commission émet un avis défavorable sur cet amendement.
M. le président. L’amendement n° 70, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :
Alinéa 42
Avant le mot :
Afin
insérer les mots :
Sans préjudice des obligations nationales existantes liées à la sécurité des traitements et
La parole est à Mme Esther Benbassa.
Mme Esther Benbassa. Comme je l’énonçais en présentant l’amendement n° 69 déposé par mon groupe, les collectivités territoriales ont à traiter, dans leurs différents services, de nombreux fichiers de données pouvant regrouper toutes sortes d’informations, y compris les plus sensibles sur nos concitoyens.
De nombreuses étapes sécuritaires doivent déjà être respectées, et les fonctionnaires et agents de ces collectivités s’interrogent sur les nouvelles obligations à respecter, qui s’ajoutent à celles déjà existantes.
C’est pourquoi, en portant une autre recommandation de l’Assemblée générale des départements, nous vous proposons de clarifier cette question de la sécurité des données à leur échelle.
Les dispositions de cet amendement permettent ainsi au responsable de traitement de ne pas occulter les différentes obligations qui lui incombent déjà. À titre d’exemple, comme l’énonce l’objet de notre amendement, le secteur public doit aujourd’hui respecter le référentiel général de sécurité pour les hébergeurs de données de santé, ainsi que les exigences de l’ASIP Santé, entre autres. Qu’en sera-t-il avec les nouvelles règles qui incomberont aux services concernés ?
Aussi apparaît-il nécessaire de préciser que le respect des nouvelles règles adaptées à notre droit européen se fasse sans préjudice des obligations nationales existantes liées à la sécurité des traitements.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Si les dispositions de cet amendement partent d’un bon sentiment, que je partage, les autres obligations nationales existantes en matière de sécurité continuent d’être obligatoires. Il n’est pas nécessaire de rappeler que la loi reste applicable.
Pour ces raisons, la commission sollicite le retrait de cet amendement.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Même avis : le Gouvernement demande le retrait de cet amendement.
M. le président. Madame Benbassa, l’amendement n° 70 est-il maintenu ?
Mme Esther Benbassa. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 70 est retiré.
L’amendement n° 148, présenté par Mme M. Carrère, est ainsi libellé :
Alinéa 68
Compléter cet alinéa par les mots :
et de ses sous-traitants, ainsi que les stipulations du contrat de sous-traitance relatives à la protection des données personnelles
La parole est à Mme Maryse Carrère.
Mme Maryse Carrère. Comme je le soulignais hier lors de la discussion générale et pendant l’examen de l’article 8, le RGPD introduit une nouvelle répartition des compétences entre autorités de contrôles européennes potentiellement déstabilisatrices.
Nous craignons notamment que la gestion des données personnelles ne soit traitée dans des États membres ayant choisi, dans les marges de manœuvre laissées par le RGPD, les solutions les moins protectrices pour les données personnelles.
Sans une coopération efficace entre autorités de contrôles, cela pourrait donner lieu à un affaiblissement de la protection effective des données personnelles de nos concitoyens, si la gestion de leurs données aujourd’hui traitées en France venait à être délocalisée.
C’est pourquoi nous proposons de renforcer le droit d’information des personnes concernées, en prévoyant qu’elles pourront être informées de l’identité des sous-traitants et de leurs coordonnées, ainsi que des stipulations du contrat de sous-traitance relatives à la protection des données.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Une telle précision étant de nature à renforcer le droit à l’information des personnes, la commission émet un avis favorable sur cet amendement.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. La communication des coordonnées du sous-traitant n’est imposée ni par la directive ni par le règlement. Il ne paraît dès lors pas cohérent de fixer un régime différent pour ces deux instruments pourtant identiques, en exigeant des seules autorités compétentes dans le champ de la directive, et non des entreprises, la transmission de ces coordonnées.
Par conséquent, le Gouvernement émet un avis défavorable.
M. le président. L’amendement n° 108, présenté par le Gouvernement, est ainsi libellé :
Alinéas 87 et 89
Supprimer les mots :
, et au bout d’un mois maximum,
La parole est à Mme la garde des sceaux.
Mme Nicole Belloubet, garde des sceaux. Le présent amendement vise à supprimer le délai d’un mois imposé au responsable de traitement pour rectifier ou effacer des données à caractère personnel qui a été ajouté par la commission des lois. En effet, la directive ne fixe pas de délai butoir.
En outre, une échéance à un mois risque de poser d’importantes difficultés pratiques, dès lors que son point de départ n’est nullement précisé et qu’un mois paraît bien trop court pour permettre au responsable de traitement d’obtenir des informations nécessaires au traitement de la demande, puis de procéder aux rectifications ou aux effacements nécessaires.
Enfin, tant le délai imparti au responsable de traitement pour répondre aux demandes de rectification ou d’effacement adressées sur le fondement du décret d’application de la loi de 1978, que celui qui est imparti au ministère public ou à une juridiction pour statuer sur toute demande qui leur est adressée, sont de deux mois.
Le délai de réponse du responsable de traitement aux demandes formées sur le fondement de la directive pourra être fixé dans le décret.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Le présent amendement vise à revenir sur le délai d’un mois à partir de la réception de la demande, qui est le délai actuellement prévu pour le traitement d’antécédents judiciaires, le TAJ.
La commission émet donc un avis défavorable sur cet amendement.
M. le président. L’amendement n° 147, présenté par Mme M. Carrère, est ainsi libellé :
Après l’alinéa 89
Insérer un alinéa ainsi rédigé :
« …° Que soient effacées dans le délai de quarante-huit heures les données biométriques la concernant légalement stockées sur des serveurs distants.
La parole est à Mme Maryse Carrère.
Mme Maryse Carrère. Ces dernières années, de plus en plus de constructeurs d’appareils numériques à usage privé utilisent des technologies fonctionnant à partir de la collecte de données biométriques, empreintes digitales ou reconnaissance faciale à des fins d’authentification.
En l’état actuel du droit, une distinction est opérée selon que ces authentifications biométriques sont stockées dans l’appareil ou depuis des serveurs distants. Dans le premier cas, la CNIL considère que le stockage de donnée biométrique est couvert par l’exemption domestique ; dans le second cas, en revanche, la CNIL exigeait une demande d’autorisation préalable du fournisseur de l’application ou de l’appareil, en raison des risques particuliers liés à un stockage externe.
Bien souvent, le consommateur ignore si les technologies d’authentification biométrique auxquelles il recourt sont stockées sur l’appareil ou sur un serveur distant. Bien souvent, les informations disponibles en ligne sur les sites des constructeurs ne sont pas suffisamment précises pour comprendre les modalités de stockage de ces données sensibles.
Cet amendement vise donc à ouvrir un droit de rectification aux personnes constatant le stockage de leurs données biométriques sur un serveur distant.
M. le président. Quel est l’avis de la commission ?
Mme Sophie Joissains, rapporteur. Cet amendement tend à instaurer, en matière pénale, pour les traitements concernés par la directive, un droit à l’effacement des données biométriques légalement stockées sur des serveurs distants. De surcroît, le responsable de traitement devrait pouvoir les effacer dans un délai de quarante-huit heures.
Je comprends très bien l’intention qui sous-tend cet amendement, mais je ne suis pas sûre que ce délai soit réaliste. Et sur quel principe fonder ce droit à l’effacement de données légalement collectées et traitées ? En tout état de cause, il ne peut y avoir un droit généralisé à l’effacement des données biométriques légalement stockées en matière pénale.
Pour ces raisons, la commission sollicite le retrait de cet amendement.
M. le président. Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet, garde des sceaux. Même avis : le Gouvernement demande le retrait de cet amendement.
M. le président. Madame Carrère, l’amendement n° 147 est-il maintenu ?
Mme Maryse Carrère. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 147 est retiré.
L’amendement n° 109, présenté par le Gouvernement, est ainsi libellé :
Alinéa 110
Remplacer les mots :
et de former un recours juridictionnel
par une phrase ainsi rédigée :
Hors le cas prévu au 1° du II, il l’informe également de la possibilité de former un recours juridictionnel.
La parole est à Mme la garde des sceaux.
Mme Nicole Belloubet, garde des sceaux. Cet amendement a pour objet de revenir sur la modification, adoptée par la commission des lois, exigeant que, dans le cadre du droit à l’information, le responsable du traitement informe la personne concernée de la possibilité de former un recours juridictionnel.
En effet, la directive n’impose au responsable du traitement d’informer la personne concernée de cette possibilité de former un tel recours que dans le cadre des droits d’accès, de rectification ou d’effacement. Vous le savez, puisque nous avons affirmé ce principe à plusieurs reprises, le Gouvernement ne souhaite pas effectuer de surtransposition.
Les garanties offertes à la personne concernée en cas de restriction de son droit à l’information ne sont pas pour autant réduites, puisqu’elle pourra exercer ses droits par l’intermédiaire de la CNIL, puis, en cas de refus de sa demande par cet intermédiaire, former le cas échéant un recours juridictionnel.