Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(Nouvelle lecture)

(n° 425 )

N° COM-10

16 avril 2018


 

AMENDEMENT

présenté par

Adopté

Mme JOISSAINS, rapporteur


ARTICLE 6


Alinéas 16, 21 (première phrase) et 30

Après les mots :

par l’État

insérer les mots :

, par une collectivité territoriale ou par un groupement de collectivités territoriales

Objet

Le présent amendement, voté par le Sénat en première lecture, vise à réduire l’aléa financier pesant sur les collectivités territoriales en supprimant, comme pour l’État, la faculté pour la CNIL de leur imposer des amendes et astreintes administratives.

Sourde aux arguments du Sénat (au point d’en faire un point bloquant lors de la commission mixte paritaire), l’Assemblée nationale a rétabli en nouvelle lecture la possibilité de sanctions pécuniaires (s’élevant jusqu’à 20 millions d’euros) et d’astreintes (100 000 d’euros par jour) à l’encontre des collectivités territoriales.

Votre rapporteur insiste sur le fait qu’il ne s’agit en rien d’exempter les collectivités du respect du RGPD. Toutes ses obligations s’appliqueront aux collectivités le 25 mai 2018, et tous les droits reconnus aux particuliers concernés par des traitements de données pourront naturellement s’exercer auprès d’elles.

La CNIL conserve naturellement à leur encontre toute la panoplie de ses mesures correctrices, dont l’inobservation peut constituer une infraction pénale. Les collectivités territoriales demeurent aussi évidemment soumises au respect du principe de légalité, de sorte que tout manquement aux règles du RGPD ou de la loi Informatique et libertés peut être annulé par le juge et engager leur responsabilité.

Il semble indispensable à votre rapporteur de reconnaître pleinement la spécificité des collectivités territoriales, qui :

– à la différence des acteurs privés, sont responsables de nombreux traitement sur lesquels elles n’ont aucune prise, car ils découlent d’obligations légales ou de compétences transférées (fichier d’état civil, fichier des cantines scolaires, fichiers d’aide sociale, listes électorales, fiscalité locale, cadastre…) ;

–  au même titre que l’État, exonéré d’amendes et d’astreinte par le texte, possèdent des prérogatives de puissance publique et exercent les missions de service public dont elles sont comme lui investies ;

– et qui disposent de budgets alimentés par le contribuable et souvent modestes pour la grande majorité d’entre elles (de sorte qu’en cas d’amende ou d’astreinte, c’est le public qui taxe le public, et l’État qui ponctionne le contribuable local).

Votre rapporteur souligne enfin qu’une telle possibilité est expressément prévue par le RGPD dont l’art. 83, §7, dispose que « chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire ».

Cette mesure de bon sens, unanimement adoptée au Sénat, a été soutenue par toutes les grandes associations d’élus et le  Gouvernement lui-même n’a pas souhaité revenir sur cette avancée en séance.