EXAMEN DES ARTICLES
TITRE PREMIER
DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978
RELATIVE
A L'INFORMATIQUE, AUX FICHIERS
ET AUX LIBERTÉS
Article 1er
(art. 2 à 5 du chapitre 1er de la loi n° 78-17 du 6
janvier 1978)
Détermination du champ d'application de la
loi
Le
présent article vise à transposer en droit interne les
dispositions des articles 2 à 4 de la directive communautaire 95/46 CE
relative à la protection des personnes physiques à l'égard
du traitement des données à caractère personnel et
à la libre circulation de ces données, qui déterminent les
principales définitions, le champ d'application et le droit national
applicable.
L'article 2 de la directive énonce huit
définitions concernant les données à caractère
personnel, les traitements de données à caractère
personnel, les fichiers de données à caractère personnel,
les responsables du traitement, les sous-traitements, les tiers, les
destinataires et le consentement de la personne concernée.
Sur proposition du rapport de M. Guy Braibant, seules les définitions
les plus importantes ont été reprises dans l'article
1
er
, les autres étant précisées lors de leur
première occurrence dans le texte.
Le présent projet de loi bouleversant l'architecture de la loi du
6 janvier 1978, les dispositions des articles 2 à 5 actuels de la
loi du 6 janvier 1978 relatives aux règles de fond applicables
aux traitements des données personnelles sont transférées
dans le chapitre II nouveau, inséré dans la loi du 6 janvier 1978
par l'article 2 du présent projet de loi.
Article 2 modifié de la loi du 6 janvier 1978
Champ d'application
matériel et
définitions
Le
premier alinéa
de l'article 2 (modifié) de la loi du 6
janvier 1978 définit le champ d'application matériel de ces
dispositions, en transposant l'article 3 de la directive 95/46 CE.
Ainsi, la
loi s'applique aux traitements, automatisés ou non, de
données à caractère personnel
contenues ou
appelées à figurer dans des fichiers, dès lors que le
responsable du traitement est établi en France ou utilise des moyens
situés en France
.
Cette définition extensive permet d'inclure des traitements qui ne sont
pas délibérément structurés comme des fichiers mais
qui, du fait même des applications technologiques collectant des
données, peuvent être exploités comme tels.
De même, les traitements non automatisés sont désormais
inclus. La directive vise aussi bien les traitements automatisés que les
traitements de fichiers manuels, alors que la loi du 6 janvier 1978 ne soumet
actuellement ces derniers qu'à des obligations restreintes.
Une
exception
est prévue s'agissant des
traitements mis en
oeuvre pour l'exercice d'activités exclusivement personnelles
. Cette
exclusion, prévue par le dernier alinéa de l'article 3 de la
directive 95/46 CE, reprend et étend celle figurant dans l'actuel
article 45 de la loi du 6 janvier 1978 excluant de certaines prescriptions de
la loi les fichiers manuels «
dont l'usage relève du strict
exercice du droit à la vie privée
».
Le
deuxième
alinéa du texte prévu pour le nouvel
article 2 de la loi du 6 janvier 1978
substitue la notion de
«
données à caractère
personnel
» à celle
« d'informations
nominatives
»
.
L'actuel article 4 de la loi du 6 janvier 1978 définit les informations
nominatives comme celles permettant «
sous quelque forme que ce
soit, directement ou non
, l'identification des
personnes
physiques
auxquelles elles s'appliquent, que le traitement soit
effectué par une personne physique ou par une personne
morale
».
L'article 2 de la directive évoque pour sa part les données
à caractère personnel, définies comme «
toute
information concernant une personne physique identifiée ou identifiable
(personne concernée) ; est réputée identifiable une
personne qui peut être identifiée, directement ou indirectement,
notamment par référence à un numéro
d'identification ou à un ou plusieurs éléments
spécifiques
, propres à son identité physique,
physiologique, psychique, économique, culturelle ou
sociale
».
Le projet de loi reprend donc ce nouveau terme, défini comme
«
toute information relative à une personne physique
identifiée ou qui peut être identifiée par
référence à un numéro d'identification ou à
un ou plusieurs éléments qui lui sont propres
».
Sur proposition de M. Gérard Gouzes, rapporteur de la
commission des Lois, et avec l'avis favorable du Gouvernement,
l'Assemblée nationale a précisé, conformément aux
dispositions de la directive et à la définition actuelle, que la
personne concernée par le traitement peut être identifiée
«
directement ou indirectement
».
Cette nouvelle définition étend le champ de la protection aux
domaines de la voix et de l'image et résulte de la prise en compte des
progrès des techniques d'identification (moteurs de recherche, logiciels
de reconnaissance vocale ou morphologique).
La
notion de «
donnée à caractère
personnel
» paraît donc plus pertinente compte tenu du
développement des mesures d'identification indirecte.
En pratique d'ailleurs, la CNIL adopte déjà une conception large
des informations nominatives, qui inclut par exemple les numéros de
téléphone, les plaques d'immatriculation ou les numéros de
certains badges, ainsi que les clichés permettant d'identifier une
personne.
Ce terme de données à caractère personnel, suffisamment
neutre et général, devrait permettre d'éviter
l'obsolescence rapide de la loi.
Il permet en outre de mettre fin en droit français à une
confusion dénoncée par le Conseil d'Etat entre les
«
informations nominatives
» au sens de la loi du 6
janvier 1978 et les «
informations nominatives
» au
sens de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures
d'amélioration des relations entre l'administration et le public, qui a
pour effet de restreindre la liberté d'accès aux documents
administratifs
12(
*
)
.
La directive prévoit des
critères
permettant de
délimiter le champ
des
données concernant une personne
identifiable et de les distinguer des données rendues anonymes qui
tombent en dehors du champ de la protection
.
Ainsi, l'article 2 a) énumère, à titre d'exemples, une
liste d'éléments permettant d'identifier une personne, telles que
la référence à un numéro d'identification ou
à un ou plusieurs éléments spécifiques propres
à son identité physique, physiologique, psychique,
économique, culturelle ou sociale.
Le considérant 26 précise que
doivent être pris en
considération pour déterminer si une personne est
identifiable les moyens susceptibles d'être raisonnablement mis en
oeuvre
pour parvenir à l'identification de la personne
concernée, ainsi que la personne susceptible de mettre en oeuvre
ces moyens (le responsable du traitement ou une personne tierce).
Votre commission des Lois vous propose de reproduire ce considérant
pour assurer une meilleure sécurité juridique aux traitements
d'anonymisation
.
En effet, si les données anonymes ne sont pas soumises à la
directive, celles faisant l'objet d'un traitement en vue d'une anonymisation le
sont.
Cet amendement tend donc à préciser la distinction entre
données anonymes et données indirectement nominatives, une
interprétation littérale de la loi pouvant aboutir à ce
que des données issues de l'anonymisation soient encore soumises
à la loi dès lors que les individus demeurent identifiables au
moyen d'efforts exceptionnels.
Il convient donc d'apporter une définition pragmatique des
données rendues anonymes, ainsi que l'ont déjà fait
d'autres Etats de l'Union européenne.
Ainsi, en Allemagne, la loi fédérale sur la protection des
données à caractère personnel du 23 mai 2001
précise, dans le 6 de l'article 3, que «
la
dépersonnalisation signifie la modification des données à
caractère personnel effectuée de telle sorte que l'information
relative à des caractéristiques personnelles ou
matérielles ne peut plus, ou seulement au prix de délais et de
moyens financiers et humains disproportionnés, être
rattachée à un individu identifié ou
identifiable
».
Le
troisième alinéa
de l'article 2 (modifié) de la
loi du 6 janvier 1978 définit la notion de
«
traitement automatisé
»
de
données personnelles comme «
toute opération portant
sur de telles données, quel que soit le procédé
utilisé, et notamment la collecte, l'enregistrement, l'organisation, la
conservation, l'adaptation ou la modification, l'extraction, la consultation,
l'utilisation, la communication par transmission, diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi
que le verrouillage, l'effacement ou la destruction
».
Cette définition, qui reprend celle figurant à l'article 5 actuel
de la loi du 6 janvier 1978, la complète par référence
à l'apparition de procédés techniques liés au
développement des technologies de l'information, comme ceux de
«
communication par transmission
», de
«
consultation
» ou de
«
diffusion
» des données à
caractère personnel.
Cette notion recouvre donc un champ plus vaste que celle de
«
traitement automatisé d'informations
nominatives
».
Tout d'abord, la directive vise aussi bien les traitements automatisés
que les traitements de fichiers manuels, alors que la loi du 6 janvier 1978 ne
soumet ces derniers qu'à des obligations restreintes.
En outre, la directive s'applique à toutes les formes de traitements
automatisés, qu'ils se rapportent ou non à l'exploitation de
fichiers ou de bases de données, la Commission européenne ayant
jugé dépassée la notion de
«
fichier
». La seule référence
à la notion de traitement doit permettre d'appliquer les règles
de la protection à toute technologie et à toute organisation
particulière de données. Les opérations de collecte
constituent en elles-mêmes un traitement, et la mise en oeuvre d'une
seule des opérations énoncées par l'article 2,b) de la
directive suffit à caractériser le traitement de données.
Pour prendre en compte les spécificités d'Internet et des
réseaux numériques, sont exclues du champ d'application de la
loi, en vertu des dispositions de l'article 4 (modifié) de la loi du 6
janvier 1978, les copies temporaires faites dans le cadre des activités
techniques, de transmission et de fourniture d'accès à un
réseau numérique, en vue du stockage automatique,
intermédiaire et transitoire des données, et à seule fin
de permettre à d'autres destinataires du service le meilleur
accès possible aux informations transmises.
Cette dérogation, non prévue par la directive, vise en fait
notamment le recours, par les fournisseurs d'accès, aux serveurs
«
proxys
» -ou
«
mandataires
»-, qui visent à
économiser des capacités de communication sur le réseau,
en mémorisant temporairement les adresses des internautes et les sites
web consultés en vue d'une nouvelle requête. Ces opérations
d'optimisation et de régulation du trafic impliquent
nécessairement le stockage temporaire de données à
caractère personnel, mais leur exclusion du champ d'application de la
loi se justifie, compte tenu de leur effacement rapide.
L'Assemblée nationale a rejeté un amendement
présenté par M. Patrice Martin-Lalande, tendant à
supprimer cette référence à des techniques susceptibles
d'obsolescence rapide, le rapporteur, M. Gérard Gouzes, suivi
par le Gouvernement, ayant souligné qu'il n'était en pratique pas
envisageable de soumettre l'activité de stockage temporaire de
données à caractère personnel à l'ensemble des
dispositions de la loi du 6 janvier 1978 - droits de rectification,
de communication et d'opposition notamment-.
Les deux derniers alinéas de l'article 2 (modifié) de la loi du
6 janvier 1978 disposent respectivement qu'un fichier de
données à caractère personnel est un ensemble
structuré et stable de ces données accessible selon des
critères déterminés et que la personne concernée
par ledit traitement est celle à laquelle se rapportent les
données à caractère personnel.
Ce terme n'est repris qu'aux articles 3 et 32 de la directive, s'agissant des
fichiers manuels.
En outre, votre commission des Lois vous propose d'adopter un
amendement
rédactionnel.
Article 3 modifié de la loi du 6 janvier 1978
Responsable du
traitement et destinataire
La
définition du responsable du traitement est essentielle, puisqu'il
s'agit de la personne physique ou morale sur laquelle pèsent les
obligations prévues par la directive, et que son lieu
d'établissement constitue le premier critère de
détermination de la loi nationale applicable.
La loi du 6 janvier 1978 ne le définit actuellement pas, alors
même qu'en cas d'omission de déclaration du traitement
auprès de la CNIL, il encourt des sanctions pénales, en
application des dispositions de l'article 226-16 du code pénal.
La notion de personne responsable n'apparaît implicitement qu'à
l'article 19 de la loi, où il est indiqué que la demande d'avis
ou de déclaration précise «
la personne qui
présente la demande et celle qui a le pouvoir de décider la
création du traitement ou, si elle réside à
l'étranger, son représentant en France
». Dans la
pratique, la CNIL exige déjà, en application de sa
délibération n° 87-25 du 10 février 1987, la
signature du formulaire de déclaration d'un traitement relevant du
secteur privé par la personne physique, ou son représentant, ou
par le représentant de la personne morale, ayant le pouvoir de
décider de la mise en oeuvre du traitement.
L'article 2 paragraphe d) de la
directive
95/46 et le présent
projet de loi définissent le responsable du traitement
comme la
personne physique ou morale, l'autorité publique, le service ou tout
autre organisme qui, seul ou conjointement avec d'autres,
détermine
les finalités et les moyens du traitement de données à
caractère personnel
.
Le responsable ne doit pas être confondu avec les personnes qui, tels les
employés ou les sous-traitants, mettent en oeuvre des traitements pour
son compte.
L'Assemblée nationale a adopté, sur proposition de son rapporteur
de la commission des Lois, M. Gérard Gouzes, et avec l'avis
favorable du Gouvernement, un amendement supprimant les termes
«
seul ou conjointement avec d'autres
», estimant
imprécise cette notion de co-responsabilité. En effet, la notion
de responsable détermine notamment le droit national applicable ;
or, il s'agit d'éviter des conflits de lois en cas de pluralité
des responsables, ou la répartition d'office de la présomption de
responsabilité entre plusieurs personnes.
La directive prévoit une définition dérogatoire du
responsable dans le cas où les finalités du traitement sont
fixées par des dispositions législatives ou réglementaires
nationales ou communautaires. Cette formule exclut les dispositions
réglementaires prises par les collectivités locales.
Par ailleurs, le paragraphe II de l'article 3 (modifié)
définit le
destinataire
du traitement des données à
caractère personnel comme la «
personne habilitée
à recevoir communication de ces données autre que la personne
concernée, le responsable de traitement, le sous-traitant et les
personnes qui, en raison de leurs fonctions, sont chargées de traiter
les données
».
En outre le paragraphe II précise que les autorités
légalement habilitées, dans le cadre d'une mission
particulière ou de l'exercice d'un droit de communication, à
demander au responsable du traitement de leur communiquer des données
-comme la CNIL- ne constituent pas des destinataires. A cet égard,
l'Assemblée nationale a ensuite adopté, toujours sur proposition
de M. Gérard Gouzes, rapporteur, et avec l'avis favorable du
Gouvernement, un amendement rédactionnel.
Article 5 modifié de la loi du 6 janvier 1978
Compétence
territoriale
La loi
du 6 janvier 1978 ne comporte aucune disposition spécifique relative
à la compétence territoriale applicable aux opérations de
traitement de données à caractère personnel, la
circulation des fichiers au niveau mondial étant encore embryonnaire
à la fin des années 70. Les règles de droit international
privé de droit commun sont donc actuellement applicables.
Le paragraphe I de l'article 5 (modifié) de la loi du
6 janvier 1978 transpose donc les dispositions de l'article 4 de la
directive 95/46 CE afin d'éviter des conflits de lois, et de clarifier
le régime applicable aux traitements et à leurs responsables. Il
prévoit deux critères alternatifs d'applicabilité de la
loi française :
- un critère de
territorialité de la personne
:
si le responsable est établi sur le territoire français,
c'est-à-dire qu'il y exerce une activité
«
effective
» dans le cadre d'une
«
installation durable
» quelle que soit sa forme
juridique, simple succursale ou filiale.
La notion d' « installation stable » prévue par
le considérant 19 n'existe pas en droit français, même
si certaines dispositions fiscales s'en rapprochent
13(
*
)
.
Par conséquent, l'Assemblée nationale a supprimé, à
l'initiative de M. Gérard Gouzes, rapporteur, et avec l'avis
favorable du Gouvernement, ces termes jugés imprécis et a choisi
de faire référence à la seule
«
installation
», dans un souci de clarification.
Dans le cas où le responsable du traitement dispose de plusieurs
établissements situés dans différents Etats membres, la
directive (éclairée par son considérant 19) précise
que celui-ci doit prendre les mesures nécessaires pour assurer le
respect, par chacun de ses établissements, des obligations
prévues par le droit national applicable aux activités qu'il
poursuit. Chaque établissement sera donc soumis à la seule loi de
l'Etat sur le territoire duquel il est implanté ;
-
un critère de territorialité des moyens
utilisés
: relève du droit français le
responsable qui, à défaut d'être installé sur le
territoire français ou sur celui d'un autre Etat membre de l'Union
européenne, recourt à des moyens de traitement situés sur
le territoire français. La directive ne précise pas la notion de
«
moyens
», mais elle devrait recouvrir tant les
moyens en matériel qu'en personnel.
Le responsable situé à l'étranger doit désigner
à la CNIL un représentant établi sur le territoire
français, chargé d'accomplir les obligations prévues par
la présente loi, des actions pouvant toujours être introduites
à l'encontre du responsable. En l'absence de désignation de
représentant par le responsable du traitement sis à
l'étranger, malgré les obligations lui incombant en application
de l'article 30 (modifié) de la loi du 6 janvier 1978 (article 4 du
présent projet), il encourt les sanctions pénales prévues
par l'article 226-16 (nouveau) du code pénal (cf.
infra
article
14 du projet de loi).
Ce critère subsidiaire tend à éviter une
délocalisation des établissements responsables dans des
« paradis informatiques ».
Une exception est prévue pour les traitements utilisés aux seules
fins de transit, comme ceux des réseaux numériques.
Votre rapporteur s'interroge sur la possibilité d'appliquer la loi
française à des responsables de traitements extérieurs
à l'Union européenne, qui procéderaient à des
traitements sur des personnes ne présentant aucun rattachement avec la
France ou l'Union européenne, du seul fait qu'ils auraient recours
à des moyens de traitement situés en France pour de la prestation
de services.
Il serait extrêmement difficile de garantir aux personnes
concernées l'exercice de droits comme le droit d'accès et de
rectification, alors même qu'elles se trouvent dans des pays tiers.
Enfin, certains Etats, comme la Grèce, incluent dans le champ
d'application de leur loi nationale l'ensemble des traitements concernant des
personnes établies sur leur territoire.
Une telle clause de sauvegarde permettrait de soumettre à la loi
française tout traitement mis en oeuvre à partir d'une
enquête sur la population française, quel que soit le lieu
d'établissement de son responsable ou les moyens mis en oeuvre.
Ces dispositions aboutiraient cependant à des conflits de lois, alors
même que les Etats membres doivent, en vertu de la directive, assurer un
niveau de protection équivalent, et que les dispositions relatives aux
transferts de données vers des pays tiers, prises en application des
articles 25 et 26 de la directive, les subordonneront à la garantie d'un
niveau de protection adéquat.
Une telle extension ne paraît donc ni utile, ni conforme aux dispositions
de la directive.
Votre commission des Lois vous propose donc d'
adopter deux amendements, dont
un rédactionnel, puis
d'adopter l'article 1
er
ainsi
modifié
.
Article 2
(Chapitre II de la loi n° 78-17 du 6 janvier
1978)
Conditions de licéité des traitements
de
données à caractère
personnel
Cet
article vise à transposer en droit interne les dispositions des articles
6 et 7 de la directive 95/46 CE relatifs aux conditions générales
de licéité des traitements de données à
caractère personnel, et de ses articles 8 et 15, qui précisent
les conditions particulières applicables aux traitements des
données dites «
sensibles
» en raison de la
nature des informations concernées.
A cet effet, il remplace l'actuel chapitre II de la loi du 6 janvier 1978
relatif à la CNIL par un nouveau chapitre «
Conditions de
licéité des traitements de données à
caractère personnel
». La section 1 de ce chapitre
nouveau, intitulée «
Dispositions
générales
», regroupe les articles 6 et 7
(modifiés). La section 2 concerne les «
Disposions propres
à certaines catégories de données
» et
comprend les articles 8 à 10 (modifiés).
La loi du 6 janvier 1978 détermine déjà, dans ses
chapitres IV et V, les règles fondamentales de licéité des
traitements des informations nominatives en imposant, notamment, le respect des
principes de loyauté et d'exactitude.
Ainsi, l'actuel article 25 de la loi «
informatique et
libertés
» interdit la collecte de données
«
par tout moyen frauduleux, déloyal ou
illicite
».
En outre, l'article 37 prévoit que le responsable est tenu de veiller
à l'exactitude des données : «
Un fichier nominatif
doit être complété ou corrigé même d'office
lorsque l'organisme qui le tient acquiert connaissance de l'inexactitude ou du
caractère incomplet d'une information nominative contenue dans ce
fichier
».
Article 6 modifié de la loi du 6 janvier 1978
Conditions de collecte
et de traitement
L'article 6 (modifié) reprend l'essentiel de ces
dispositions, qui figurent dans les trois premiers paragraphes.
Néanmoins, l'Assemblée nationale, à l'initiative de son
rapporteur M. Gérard Gouzes, et avec l'avis favorable du
Gouvernement, a adopté un amendement tendant à supprimer la
mention selon laquelle il incombe au responsable du traitement de faire
respecter ces dispositions, l'estimant inutile.
En outre, le 2° de l'article consacre un nouveau principe de
finalité en précisant, ce qui ne ressortait pas explicitement du
texte antérieur, que les données
doivent être
collectées «
pour des finalités
déterminées
» et ne peuvent
être
«
traitées ultérieurement de manière
incompatible avec ces finalités
».
Ce complément majeur résulte du point b) du paragraphe 1) de
l'article 6 de la directive. Il figurait déjà presque dans les
mêmes termes dans la convention n° 108 du Conseil de l'Europe. La
loi du 6 janvier 1978 ne se réfère en effet à la
finalité
des traitements que de manière incidente, dans
les dispositions relatives aux obligations de déclaration.
Celle-ci doit donc être déterminée dès le stade de
la collecte, une exigence de compatibilité entre la finalité de
la collecte et celle des traitements ultérieurs étant
également prévue.
Le texte proposé apporte donc une
innovation importante en
évoquant la question de l'utilisation future des données
collectées
. Pour écarter le risque d'un usage
injustifié, même décalé dans le temps, il pose
d'abord le principe de l'interdiction de tout traitement ultérieur des
données «
incompatible avec les finalités pour
lesquelles elles ont été collectées
».
Une exception est néanmoins prévue au profit des traitements
réalisés à des fins statistiques ou scientifiques ou
historiques, sous réserve qu'ils respectent les conditions de
licéité définies par le présent chapitre, les
formalités préalables à la mise en oeuvre des traitements
prévus au chapitre IV et les obligations imposées aux
responsables de traitements définies à la section 1 du chapitre
V. En outre, ils ne doivent pas être utilisés pour prendre des
décisions à l'égard des personnes concernées.
De plus, les collectes de données doivent désormais
également respecter un
principe de proportionnalité
.
Ainsi, le 3° de l'article 6 (modifié) prévoit que le
traitement ne doit porter que sur des données
«
adéquates, pertinentes et non excessives au regard des
finalités pour lesquelles elles sont collectées et pour
lesquelles elles sont traitées ultérieurement
».
Si ce principe connaît ainsi sa première consécration
formelle, la CNIL le respectait déjà largement en pratique.
Sur proposition de M. Gérard Gouzes, rapporteur, et avec
l'avis favorable du Gouvernement, l'Assemblée nationale a adopté
un amendement tendant à regrouper l'ensemble des dispositions relatives
au respect du principe de finalité des traitements, y compris celles
concernant les traitements à des fins historiques et statistiques.
Enfin, est repris au 4° le
principe d'exactitude des
données
, qui figure déjà à l'article 37 de la
loi du 6 janvier 1978.
Le point d) du paragraphe 1) et le paragraphe 2) de l'article 6 de la directive
précisent les prescriptions imposées au responsable du
traitement :
- prendre toutes les mesures raisonnables -le projet de loi parle de
mesures appropriées, la notion de
«
reasonableness
» étant propre au droit
anglo-saxon- pour que les données inexactes ou incomplètes au
regard des finalités pour lesquelles elles ont été
collectées ou pour lesquelles elles sont traitées
ultérieurement, soient effacées ou rectifiées ;
- respecter les principes énoncés au paragraphe 1.
S'agissant de la
conservation des données
, le 5° de
l'article 6 (modifié) dispose qu'elles ne peuvent l'être que
«
pendant une durée qui n'excède pas la durée
nécessaire aux finalités pour lesquelles elles sont
collectées et traitées
». L'actuel article 37
prévoit déjà que «
les informations ne
doivent pas être conservées sous une forme nominative
au-delà de la durée prévue à la demande d'avis ou
de déclaration, à moins que leur conservation ne soit
autorisée par la commission
».
L'article 6, 1 de la directive comporte en outre dans ses points b) et e) des
dispositions :
- reprenant le principe du « droit à l'oubli »
posé par l'article 28 de la loi du 6 janvier 1978 ;
- prévoyant une exception pour le traitement de données
«
à des fins historiques, statistiques ou scientifiques
[qui] n'est pas réputé incompatible [avec les finalités
pour lesquelles les données ont été collectées]
pour autant que les Etats membres prévoient des garanties
appropriées
».
Le considérant 29 précise que ces garanties
«
doivent notamment empêcher l'utilisation des
données à l'appui de mesures ou de décisions prises
à l'encontre d'une personne
».
C'est donc ce que prévoit le projet de loi.
L'Assemblée nationale a en outre adopté, à l'initiative du
rapporteur, M. Gérard Gouzes, un amendement
rédactionnel au 3° de l'article 6 (modifié).
Le non respect de ces prescriptions relatives à la collecte et au
traitement des données est passible de sanctions pénales
prévues par l'article 226-18 du code pénal. Le
quantum
des peines encourues est, par ailleurs, modifié par l'article 14 du
projet de loi (cf. infra).
Votre commission des Lois vous propose d'adopter
deux amendements
rédactionnels.
Article 7 modifié de la loi du 6 janvier 1978
Conditions de
licéité du traitement
L'article 7 (modifié)
de la loi du 6 janvier 1978
précise ensuite les conditions
relatives à la
licéité des traitements
de données à
caractère personnel.
L'article 7 de la
directive
pose pour sa part six conditions
alternatives :
- le
consentement
de la personne concernée ;
- les conditions procédant d'une
nécessité
objective
: obligation légale ou contractuelle, sauvegarde de
l'intérêt vital d'une personne ou exécution d'une mission
d'intérêt public ;
- la
mise en balance des intérêts légitimes
du
responsable du traitement et des tiers auxquels les données sont
communiquées avec les droits et libertés fondamentaux des
personnes fichées.
En conséquence, le
projet de loi
pose d'abord le
principe
selon lequel le
consentement des personnes
concernées par un
traitement de données à caractère personnel est
nécessaire.
Actuellement
ce consentement n'est pas requis, la
seule disposition protectrice résultant de l'article 26 de la loi du 6
janvier 1978, qui permet à toute personne de
s'opposer
«
pour des raisons légitimes
»
à
ce que des informations la concernant fassent l'objet d'un traitement, ce qui
peut se révéler d'application délicate. Cette disposition
est d'ailleurs reprise par l'article 5 du projet de loi dans l'article 38
(modifié) de la loi.
Cependant, cette exigence étant extrêmement restrictive, l'article
7 (modifié) énumère, de manière limitative, et
conformément à la directive, différentes
exceptions
à l'exigence de consentement des personnes lorsque le traitement est
nécessaire :
- au respect d'une
obligation légale
à laquelle le
responsable du traitement est soumis, par exemple les traitements
imposés par les obligations déclaratives pesant sur les
employeurs en matière fiscale et sociale (1°) ;
- à la
sauvegarde de la vie
de la personne concernée,
ce qui correspond, notamment, aux traitements de données dans le domaine
de la santé. Ce terme a été préféré
à la notion d'«
intérêt vital
»
employée dans la directive, qui est un anglicisme résultant de la
traduction littérale de «
vital interest
».
Ce terme anglais était d'ailleurs ambigu dans la mesure où il
peut désigner un intérêt essentiel ne se rattachant pas
à la survie de la personne concernée (2°) ;
-
à l'exécution d'une mission de service public
-la
directive évoquant l'exécution d'une mission
d'intérêt public ou relevant de l'exercice de l'autorité
publique- dont le responsable ou le destinataire du traitement est investi.
Ceci vise notamment les fichiers de police ou de justice, sous réserve
qu'ils ne comprennent pas de données sensibles, ce qui les soumettrait
au régime dérogatoire prévu par l'article 8
(modifié). Ce terme de mission de service public, qui figure à
l'actuel article 15 de la loi du 6 janvier 1978 a été
préféré à celui de mission d'intérêt
public employé par la directive. Le considérant 32 précise
à cet égard «
qu'il appartient aux
législations nationales de déterminer si le responsable du
traitement investi d'une telle mission doit être une administration
publique ou une autre personne soumise au droit public ou au droit
privé, telle qu'une association professionnelle
»
(3°) ;
-
à l'exécution soit d'un contrat
auquel la personne
concernée est partie,
soit de mesures précontractuelles
prises à sa demande (4°). Ceci doit permettre par exemple la
collecte de données dans le cadre des formulaires bancaires que doit
remplir la personne demandant l'ouverture d'un compte ;
-
à la réalisation de l'intérêt
légitime poursuivi par le responsable du traitement ou par le
destinataire «
sous réserve de ne pas
méconnaître l'intérêt ou les droits et
libertés fondamentaux de la personne
concernée
»
(5°).
Cette dernière exception, d'une portée
exceptionnellement
générale
, reprend fidèlement les termes du paragraphe
f) de l'article 7 de la directive 95/46 CE. La directive ne donnait aucun
critère et le considérant 30 se bornait à donner des
exemples pouvant fonder la licéité de traitements -les
activités de gestion courante des entreprises et autres organismes, la
prospection commerciale, la prospection par une association à but
caritatif ou par d'autres associations ou fondations, par exemple à
caractère politique- en précisant que les traitements devront
être mis en oeuvre dans le respect des dispositions visant à
permettre aux personnes concernées de s'opposer sans devoir indiquer
leurs motifs et sans frais au traitement de données les concernant.
L'énumération donnée par le considérant 30 est loin
d'épuiser toutes les finalités possibles. Elle omet par exemple
de viser les fichiers-témoins ou
cookies
, mis en place par les
serveurs sur le réseau Internet pour conserver la trace des sites
visités par leurs clients.
Cette clause de sauvegarde pourrait à terme recouvrir la majorité
des traitements du secteur privé et
il appartiendra à la CNIL
de veiller au respect
d'un équilibre
, par son contrôle
a priori
ou
a posteriori
, sans préjudice de
l'éventuelle appréciation ultérieure du juge en cas de
contentieux.
Cette dérogation, de par son caractère très
général,
fragilise substantiellement la portée du
principe du consentement de la personne
, qui ne saurait donc être
considéré comme constituant la règle en matière de
traitement des données.
L'Assemblée nationale a, à l'initiative du rapporteur,
M. Gérard Gouzes, adopté, avec l'avis favorable du
Gouvernement, quatre amendements rédactionnels.
Les motifs de la directive invitent les législateurs nationaux à
prévoir des garanties renforcées pour les personnes
concernées.
L'article 14 b) et le considérant 30 de la directive prévoient
une définition large du droit d'opposition s'agissant des traitements de
données à des fins de prospection. En outre, de tels traitements
ne devraient, en application des articles 11, paragraphe 2 et 13 de la
directive, pas pouvoir bénéficier de dérogations à
l'obligation d'information prévue par les articles 10 et 11,
paragraphe 1, ou au droit d'opposition garanti par l'article 14.
Votre commission des Lois vous propose d'adopter un
amendement
rédactionnel.
Article 8 modifié de la loi du 6 janvier 1978
Interdiction de la
collecte
et du traitement des « données
sensibles »
L'article premier de la loi du 6 janvier 1978 (non
modifié
par le présent projet de loi), affirme solennellement que
l'informatique «
ne doit porter atteinte ni à
l'identité humaine, ni aux droits de l'homme, ni à la vie
privée, ni aux libertés individuelles ou
publiques
».
Par conséquent, le premier alinéa de l'actuel article 31 de
la loi du 6 janvier 1978
interdit
«
de mettre ou
conserver en mémoire informatisée,
sauf accord
exprès
de l'intéressé, des données nominatives
qui, directement ou indirectement, font apparaître les
origines
raciales ou les opinions politiques, philosophiques ou religieuses ou les
appartenances syndicales ou les moeurs des
personnes
», considérées comme des
« données sensibles ».
Toutefois, son deuxième alinéa autorise les
«
églises ou les groupements à caractère
religieux, philosophique, politique ou syndical
» à tenir
registre de leurs membres sous forme automatisée.
Par ailleurs, le dernier alinéa introduit une autre exception pour
«
des motifs d'intérêt public
», sous
réserve que l'autorisation en soit donnée sur proposition ou avis
conforme de la CNIL et par décret en Conseil d'Etat. En pratique sont
visés à titre principal les traitements mis en oeuvre par les
ministères de la défense ou de l'intérieur. A titre
d'exemple, la CNIL a estimé par sa délibération n°
82-205 du 7 décembre 1982 que le recueil d'informations sur le
«
type racial
» d'individus par la direction
centrale des renseignements généraux était
d'intérêt public, dès lors que ces informations
constituaient des éléments de signalisation des personnes.
L'article 8 de la directive reprend six catégories de données
visées par la convention n° 108 du conseil de l'Europe dont le
traitement est en principe interdit, car «
susceptibles par leur
nature de porter atteinte aux libertés fondamentales ou à la vie
privée
», ainsi que le précise le
considérant 33.
L'article 8
(modifié) de
la loi du 6 janvier 1978
reprend
dans un
paragraphe I
la liste des données dites sensibles
actuellement en vigueur tout en la
complétant, conformément
à la directive, par une référence aux données
relatives à la santé et à l'orientation sexuelle.
Cette dernière disposition s'inscrit dans le prolongement de la
réglementation européenne interdisant toute discrimination
fondée sur ce motif. La loi du 6 janvier 1978 modifiée
par la loi du 16 décembre 1992 parle actuellement de moeurs. Le terme d'
«
orientation sexuelle
» proposé par le
projet de loi étant moins large que celui de «
vie
sexuelle
» utilisé par la directive car évoquant
principalement la question de l'homosexualité, votre commission des Lois
vous propose d'adopter un
amendement reprenant le terme de
«
vie sexuelle
»
.
Par ailleurs, les données de santé sont dorénavant
considérées comme des données sensibles.
Contrairement aux autres catégories citées, les données
relatives à la santé ont vocation à faire l'objet d'un
traitement systématique pour les fins de la médecine, de
l'administration du système de santé et d'assurance-maladie et de
la santé publique. Néanmoins, détourné de ces
finalités, le traitement des données de santé
représente des risques considérables pour les libertés
publiques. L'apport de la directive est donc d'encadrer le traitement de ces
données dans les strictes limites des finalités qui viennent
d'être énoncées et de restreindre les catégories de
destinataires habilités à y accéder (paragraphes 3 et 4 de
l'article 8 modifié).
La directive et le projet de loi omettent en revanche les données
génétiques, alors même que le rapport
présenté par M. Guy Braibant proposait de les inclure, par
référence à la déclaration universelle sur le
génome humain, adoptée par la conférence
générale de l'UNESCO en 1997
14(
*
)
.
Néanmoins, il est possible de rattacher le génome humain aux
données relatives à la santé. De plus, le
considérant 33 vise de façon globale et sans les
énumérer les données «
susceptibles par leur
nature de porter atteinte aux libertés fondamentales ou à la vie
privée
».
Le paragraphe 7 de l'article 8, prévoyant que les Etats membres
déterminent «
les conditions dans lesquelles un
numéro national d'identification ou tout autre identifiant de
portée générale peut faire l'objet d'un
traitement
» aurait pu fournir une base juridique. Tel n'a pas
été le choix opéré par le Gouvernement.
Néanmoins, on notera que ces données sont soumises à la
procédure d'autorisation par la CNIL prévue par l'article 25
modifié de la loi du 6 janvier 1978.
Le projet de loi prévoit que
le consentement exprès de la
personne concernée permet de déroger à l'interdiction
de traitement des données sensibles.
Or, le paragraphe 2, a) de l'article 8 de la directive indique que les
Etats
membres peuvent prévoir que le consentement exprès de la personne
concernée ne suffit pas
. Votre commission des Lois vous propose donc
d'
adopter un amendement
reprenant cette possibilité, afin
d'éviter que des organismes tels que des compagnies d'assurance ou des
employeurs puissent, au seul motif qu'ils auraient obtenu le consentement de
l'intéressé, procéder à la collecte et au
traitement de données sensibles. Il est en effet à craindre
qu'ils exercent une certaine pression sur les personnes.
Néanmoins, une telle restriction ne pourrait intervenir
que dans
l'hypothèse d'une loi
ultérieure
. Ceci pourrait
trouver à s'appliquer s'agissant des données
génétiques. Le législateur est d'ailleurs
déjà intervenu afin d'encadrer cette dérogation à
l'interdiction de procéder à des traitements de données
sensibles : pour la constitution des fichiers de recherche médicale
(loi du 1
er
juillet 1994) ou encore pour les conditions de collecte
et de traitement, par les entreprises d'assurance, des données
médicales des personnes exposées à un risque
aggravé (article L. 1142-2 du code de la santé publique),
qui perdurent donc grâce à cet amendement.
Le
paragraphe II
de l'article 8 (nouveau) de la loi du 6 janvier 1978
définit ensuite les
exceptions
à cette interdiction de
principe de collecte et de traitement des données sensibles.
L'article 8 de la directive énonce dans ses paragraphes 2 à 5
huit catégories de dérogations, certaines devant obligatoirement
être transposées et d'autres étant optionnelles.
a- Il
reprend d'abord les dispositions de l'actuel article 31
pour
exclure du dispositif les
associations ou tout autre organisme à but
non lucratif et à caractère religieux, philosophique, politique
ou syndical.
Cependant, il précise désormais que les informations
traitées doivent concerner leurs seuls membres «
ou, le cas
échéant
», des personnes entretenant avec ceux-ci
des contacts réguliers, que ces données ne doivent pas être
communiquées à des tiers, à moins que les personnes
concernées n'y consentent expressément (2°).
Si l'actuel article 31 de la loi du 6 janvier 1978 fait prévaloir une
conception extensive de la liberté d'opinion et de conscience, les
traitements en cause ne pouvant être soumis à aucun contrôle
a priori
, un contrôle
a posteriori
, seul à
même de garantir le respect du cadre de la dérogation s'agissant
notamment des traitements mis en oeuvre, à des fins de prospection, est
dorénavant autorisé.
La directive ajoutait en outre que ces traitements devaient être
effectués dans le cadre de leurs activités légitimes et
avec les garanties appropriées (d), tandis que le projet de loi se
contente de préciser que les traitements doivent concerner les seules
données correspondant à l'objet dudit organisme.
L'interdiction de communiquer les données à des tiers sans le
consentement des personnes concernées est reprise dans le projet de loi.
Cependant, l'article 22 (modifié) précise que les traitements
effectués par ces organismes ne sont pas soumis à une
déclaration préalable.
Par ailleurs, la faculté de collecter et de traiter des données
sensibles pour un
motif « d'intérêt
public »
est également maintenue. Le paragraphe III le
prévoit ainsi expressément, mais le subordonne à
l'autorisation de la CNIL, selon la procédure particulière
prévue aux articles 25 et 26 (modifiés) de la loi du 6 janvier
1978.
Le point 4 de l'article 8 de la directive 95/46 CE permet, sous réserve
de garanties appropriées, aux Etats membres de prévoir, pour un
motif d'intérêt général
important
,
d'autres dérogations,
soit par leur législation nationale,
soit sur décision de l'autorité de contrôle
. En France,
la voie législative a été choisie.
Les considérants 34 à 36 précisent que sont susceptibles
de constituer un motif d'intérêt public important :
- les traitements intervenant dans des domaines tels que la
santé publique et la protection sociale
(particulièrement
afin d'assurer la qualité et la rentabilité en ce qui concerne
les procédures utilisées pour régler les demandes de
prestations et de services dans les régimes d'assurance-maladie) ;
- la recherche scientifique et les statistiques publiques
(considérant 34), des garanties appropriées devant
être prévues ;
- le traitement de données à caractère personnel par
des autorités publiques pour la réalisation de fins
prévues par le droit constitutionnel ou le droit international public au
profit d'associations à caractère religieux officiellement
reconnues (considérant 35) ;
- la collecte par les partis politiques de données relatives aux
opinions des personnes, si requis pour le fonctionnement du système
démocratique (considérant 36).
b- Au-delà de la reprise des dispositions existantes, le
paragraphe
II
de l'article 8 (modifié) retient, conformément à
l'article 8 de la directive 95/46 CE, un
champ de dérogations plus
large
que celui prévu
actuellement
.
En effet,
l'interdiction ne concerne pas les traitements
:
- portant sur des
données rendues publiques par la personne
concernée (3°). Ceci permet de remédier à une lacune
de l'article 31 de la loi du 6 janvier 1978, qui interdit donc en
théorie de conserver des données relatives aux engagements
d'hommes politiques ou de dirigeants syndicaux. L'étendue de cette
dérogation doit cependant être appréciée à la
lumière du principe de finalité : elle ne signifie nullement
que toute donnée sensible rendue publique par la personne
concernée peut faire l'objet de n'importe quel traitement ;
-
nécessaires
:
à la
sauvegarde de la vie humaine
, mais auxquels la
personne concernée ne peut donner son consentement par suite d'une
incapacité juridique ou d'une impossibilité
matérielle (1°, c) du 2 de l'article 8 de la directive). Ce
nouveau cas vise les fichiers des organisations humanitaires sur les personnes
arrêtées ou disparues, ainsi que les situations d'urgence
-notamment en matière de santé- dans lesquelles le consentement
de la personne concernée ne peut être recueilli, alors que sa
survie ou celle d'une autre personne est en jeu ;
aux fins de la médecine préventive, des diagnostics
médicaux, de l'administration de soins ou de traitements ou de la
gestion de services de
santé
, sous réserve qu'ils soient
mis en oeuvre par un membre d'une profession de santé ou une personne
soumise à l'obligation de secret professionnel (5°, 3 de l'article
8 de la directive).
Il s'agit de l'exception la plus importante à l'interdiction du
traitement des données sensibles. Elle permettra de compenser l'effet de
l'ajout des données de santé à la liste des données
sensibles, tout en encadrant strictement le traitement de ces données,
désormais restreint à des finalités et à des
destinataires étroitement définis. La limitation par la directive
des personnes autorisées à effectuer le traitement des
données constitue une garantie essentielle, et intégrée au
projet français de « réseau
santé-social » à travers la mise en place d'une
« carte des professionnels de santé » permettant de
différencier les niveaux d'habilitation des personnes ayant accès
au réseau.
Le rapport de M. Guy Braibant prévoyait comme garanties
appropriées :
- la soumission des personnes ayant accès aux traitements à
une obligation de secret professionnel, même si les agents en cause
(agents de l'Etat et des caisses d'assurance-maladie) ne sont pas des
personnels de santé soumis au secret professionnel ;
- une restriction de l'information accessible aux agents en cause aux
données strictement nécessaires aux traitements qu'ils ont
vocation à mettre en oeuvre, dont le périmètre pourra
être précisé par décret.
Ces préconisations ont donc été suivies. Finalement, le
projet de loi choisit la mise en oeuvre par un membre d'une profession de
santé ou par une autre personne soumise à l'obligation de secret
professionnel.
à la constatation, à l'exercice ou à la
défense d'un droit en justice (4°, e) de l'article 8 de la
directive). Si l'article 4 exclut la justice du champ d'application de la
directive, les professions juridiques -qui entrent dans le champ de la
compétence communautaire- traitent des informations concernant leurs
clients ou leurs adversaires pouvant être sensibles. Ainsi un cabinet
d'avocats traitant de responsabilité médicale ou d'atteinte aux
droits de salariés protégés est-il amené à
effectuer des traitements de données sensibles.
L'Assemblée nationale a adopté avec l'avis favorable du
Gouvernement quatre amendements présentés par le rapporteur,
M. Gérard Gouzes, dont trois rédactionnels, le
quatrième autorisant le secteur de la recherche médicale à
procéder à des traitements de données dites sensibles
selon les modalités prévues au chapitre IX de la loi du 6 janvier
1978 conformément au considérant 35 de la directive. Il s'agit en
effet d'un des «
motifs d'intérêt public
important
» prévus par le paragraphe 4 de la directive,
qui permet à l'autorité de contrôle de prévoir
d'autres dérogations, sous réserve de garanties
appropriées.
Enfin, le troisième
paragraphe (III)
du texte proposé pour
l'article 8 dispose que
«
lorsque l'intérêt
public l'impose
», d'autres traitements ne sont pas soumis
à cette interdiction de traitement des données sensibles
.
Le paragraphe 6 de l'article 8 de la directive prévoit que les
dérogations pour des motifs d'«
intérêt public
important
» devront être notifiées à la
Commission.
La directive indique plusieurs autres cas dans lesquels des dérogations
sont possibles, mais qui n'ont pas été repris par le projet de
loi :
- la directive permet aux lois nationales de prévoir que dans
certains cas, l'interdiction ne peut être levée par le
consentement de la personne concernée ;
- la directive prévoit également une dérogation
à l'interdiction du traitement de données sensibles pour les
traitements nécessaires au respect d'obligations du responsable du
traitement en matière de droit du travail. Ceci vise notamment les cas
dans lesquels la législation nationale prévoit le
prélèvement à la source par l'employeur des cotisations
syndicales ou des contributions fiscales aux Eglises. Tel n'étant pas le
cas en France, leur transposition n'était pas requise.
Votre commission des Lois vous propose d'adopter un amendement tendant
à autoriser des traitements d'anonymisation portant sur des
données sensibles, tout en les entourant d'un certain nombre de
garanties
.
Il s'agit d'une nouvelle application de l'article 8-2-4 de la directive, qui
autorise les Etats membres à prévoir des conditions
légales dérogatoires pour le traitement de catégories
spéciales de données, y compris les données de
santé, pour des motifs d'intérêt public important.
Les traitements d'anonymisation permettant de protéger la vie
privée, il convient donc de les encourager, d'autant plus qu'ils peuvent
contribuer au développement de la recherche en matière de
santé.
Cet amendement entoure de garanties importantes ces possibilités de
dérogations. En effet, la mise en oeuvre de celles-ci sera suivie et
encadrée par la Commission nationale de l'informatique et des
libertés, à laquelle il appartiendra de déterminer les
catégories de traitements pouvant en bénéficier eu
égard à leur finalité.
En outre, cette dérogation ne sera applicable qu'aux traitements
d'anonymisation dont les procédés d'anonymisation auront
été préalablement homologués par la CNIL, en vertu
de l'article 11 modifié de la
loi du 6 janvier 1978.
Par ailleurs, si ces règles pourront provenir d'organisations
professionnelles, la CNIL pourra également reconnaître des
règles proposées par des entreprises. En effet, l'homologation de
règles professionnelles peut prendre plusieurs années et il
convient d'encourager dès à présent le
développement de l'anonymisation.
De plus, ces traitements d'anonymisation devront intervenir à bref
délai.
Votre commission des Lois vous propose en outre d'adopter un
amendement
prévoyant une dérogation supplémentaire pour les
traitements statistiques réalisés par l'INSEE
dans le respect
de la loi n° 51-711 du 7 juin 1951 sur l'obligation,
la coordination et le secret en matière statistique. Ces traitements
seront soumis à autorisation de la CNIL après avis du Conseil
national de l'information statistique.
En outre, votre commission des Lois vous propose d'adopter
deux amendements
rédactionnels
.
Article 9 modifié de la loi du 6 janvier 1978
Traitements relatifs
aux infractions,
condamnations et mesures de
sûreté
Par
ailleurs, l'article 9 (modifié) reprend quasiment à l'identique
les dispositions de l'article 30 de la loi en vigueur et prévoit des
garanties spécifiques pour le traitement des
données à
caractère personnel relatives aux infractions, condamnations et mesures
de sûreté
.
Ainsi, ils ne peuvent être mis en oeuvre que par :
- les juridictions, les autorités publiques et les personnes
morales gérant un service public, agissant dans le cadre de leurs
attributions légales ;
- les auxiliaires de justice, pour les stricts besoins de l'exercice des
missions qui leur sont confiées par la loi. Rappelons qu'il s'agit des
avocats, des avocats au Conseil d'Etat et à la Cour de cassation, des
avoués près les cours d'appel, des commissaires priseurs, des
experts judiciaires, des greffiers de commerce, des huissiers de justice, des
notaires, des syndics et administrateurs judiciaires.
Le point 5 de l'article 8 de la directive prévoit que le
traitement de ces données ne peut être effectué que sous le
contrôle de l'autorité publique ou si des garanties
appropriées et spécifiques sont prévues par le droit
national, sous réserve de dérogations pouvant être
accordées à l'Etat membre. Toutefois, un recueil exhaustif des
condamnations pénales ne peut être tenu que sous le contrôle
de l'autorité publique.
Actuellement, l'article 30 de la loi du 6 janvier 1978 est plus restrictif
puisque seules les juridictions et autorités publiques agissant dans le
cadre de leurs attributions légales et, sur avis conforme de la CNIL,
les personnes morales gérant un service public sont habilitées
à traiter ces données, sauf dispositions légales
contraires.
Si l'article 30 de la loi du 6 janvier 1978 a ouvert une dérogation
provisoire au bénéfice des entreprises d'assurance, elle a
été levée par la loi du 4 janvier 1980 relative à
l'automatisation du casier judiciaire. De plus, une mission de service public,
même lorsqu'elle est gérée par un organisme de droit
privé, est toujours placée «
sous le contrôle
de l'autorité publique
».
La disposition de la directive permettant aux Etats membres d'étendre
aux traitements des données relatives aux sanctions administratives ou
aux jugements civils le contrôle de l'autorité publique n'a pas
été retenue par le projet de loi.
L'Assemblée nationale a par ailleurs adopté, à
l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis
favorable du Gouvernement, un amendement rédactionnel.
Votre commission des Lois vous propose d'adopter un
amendement
permettant aux victimes d'infractions
, pour les besoins de la lutte
contre la fraude et dans des conditions prévues par une loi
ultérieure,
de mettre en oeuvre des traitements
portant sur les
auteurs d'infractions dont elles ont été victimes. Seraient
exclus de cette possibilité les traitements comportant des
données mutualisées
pour les raisons exposées lors de
l'examen de l'article 10 modifié de la loi du
6 janvier 1978 (voir
infra
).
En l'absence d'un tel élargissement, on pourrait craindre en effet de
voir se développer des traitements clandestins sur lesquels la CNIL ne
pourrait exercer aucun contrôle. Il convient donc que la CNIL, dans une
démarche pragmatique, puisse s'assurer de la justification de la
poursuite d'un intérêt général et du respect de
certaines garanties.
Cinq Etats membres ont déjà adopté cette attitude
réaliste en autorisant des fichiers privés d'infractions :
Autriche, Danemark, Italie, Portugal et Pays-Bas.
Article 10 modifié de la loi du 6 janvier 1978
Fondement de
décisions
Au refus
d'être identifié par un simple numéro s'est ajouté
celui d'être réduit à un « profil » de
personnalité dans les relations avec l'administration et avec des
organismes privés dont les décisions peuvent significativement
affecter la situation d'une personne.
Le droit administratif prévoit déjà certaines garanties en
faveur des administrés. Ainsi, toute personne faisant l'objet d'une
décision négative a droit à un examen particulier de son
cas, à être informée des motifs de la décision prise
à son encontre, à pouvoir demander un réexamen de son cas
en dehors de tout cadre mécanique et à présenter ses
observations.
En revanche, dans le cadre privé, les règles manquent encore,
même si des lois particulières sont intervenues pour encadrer le
fonctionnement de fichiers destinés à protéger les
personnes contre elles-mêmes -comme le Fichier des incidents de
remboursement de crédit aux particuliers (FICP) mis en place par la
Banque de France pour prévenir les cas de surendettement- ou visant
à protéger les personnes contre les comportements de tiers -comme
le Fichier central des chèques (FCC), recensant les chéquiers
volés et cartes bancaires en opposition afin d'en prévenir tout
usage-.
Or, se développe la prestation par des groupements professionnels ou des
sociétés privées de services de repérage ou de
recensement des clients dits « à risques » par la
constitution de « listes noires » comportant des personnes
jugées indésirables ou dont certains comportements appellent
à la vigilance, au motif que les professionnels doivent se
protéger contre la fraude ou le risque d'impayé.
Cette mutualisation d'informations doit permettre à des professionnels
de connaître le « profil » de certaines personnes et
de décider en toute connaissance de cause de contracter, le cas
échéant en fixant des conditions particulières, ou de ne
pas contracter.
Ces décisions produisent des effets juridiques ou affectent
significativement des personnes -comme celles des employeurs relatives à
la situation de leurs salariés, celles des établissements
bancaires en matière de crédit ou certaines décisions des
compagnies d'assurances- et doivent donc être encadrées.
En effet, l'inscription d'une personne dans un tel fichier a un effet
stigmatisant et peut quelquefois revêtir un caractère
disproportionné par rapport aux fait reprochés. En outre, de tels
fichiers dérogent aux principes de la protection des données
personnelles puisque loin de demeurer confidentielles, les informations en
cause sont alors partagées. De plus, elles vont à l'encontre du
droit à l'oubli.
La loi du 6 janvier 1978 interdit que ces listes puissent constituer des
« casiers judiciaires parallèles » non
contrôlés, en prévoyant le droit d'information,
d'accès et de rectification.
Par ailleurs, la directive cite parmi les «
traitements
susceptibles de présenter des risques particuliers au regard des droits
et des libertés des personnes concernées
» et
appelés, à ce titre, à pouvoir faire l'objet d'un examen
préalable par l'autorité de contrôle avant toute mise en
oeuvre, les traitements ayant pour «
finalité d'exclure des
personnes du bénéfice d'un droit, d'une prestation ou d'un
contrat
».
La CNIL est régulièrement saisie de traitements
d'évaluation du risque d'insolvabilité des demandeurs de
crédit, des antécédents des incidents de paiements pour
les professionnels de l'immobilier, de l'assurance ou de la
téléphonie. La loi du 6 janvier 1978 ne soumettant pour l'instant
pas les fichiers informatisés du secteur privé à un examen
préalable, mais à un régime de simple déclaration
contre délivrance d'un récépissé, elle ne peut
qu'alerter les pouvoirs publics et organiser systématiquement des
vérifications sur place.
L'article 10 (modifié) de la loi du 6 janvier 1978 doit donc
permettre de remédier à cette situation.
Son premier paragraphe prévoit ainsi qu'
aucune décision de
justice impliquant une appréciation sur le comportement d'une personne
ne peut avoir pour fondement
un traitement automatisé de
données à caractère personnel destiné à
évaluer certains aspects de sa personnalité.
Par ailleurs, le deuxième paragraphe précise qu'
aucune
autre
décision produisant des effets juridiques à
l'égard d'une personne ne peut être prise
sur ce seul
fondement
.
Néanmoins, le troisième paragraphe prévoit,
conformément aux dispositions du deuxième alinéa de
l'article 15 de la directive 95/46 CE, qu'une décision prise dans le
cadre de la conclusion ou de l'exécution d'un contrat
«
n'est pas regardée comme prise sur le seul fondement d'un
traitement automatisé
» si la personne a été
mise à même de présenter ses observations. En pratique, il
s'agit notamment de garantir que les entreprises d'assurance ou les
établissements bancaires, qui autorisent le crédit par des
méthodes d'évaluation du profil du client dites de
«
credit scoring
», ne fondent pas leurs
décisions sur le seul examen de fichiers de données à
caractère personnel en leur possession, mais procèdent à
un examen de la situation individuelle de la personne en lui permettant de
faire valoir son point de vue.
A l'initiative du rapporteur et avec l'avis favorable du Gouvernement,
l'Assemblée nationale a rétabli la référence
mentionnée à l'actuel article 2 de la loi du 6 janvier 1978
à la notion de «
profil
» de
l'intéressé, alors que le projet de loi initial ne retenait que
sa personnalité.
Votre commission des Lois vous propose de compléter cet article
.
En effet, si l'article 15 de la directive interdit de prendre des
décisions produisant des effets juridiques à l'égard d'une
personne sur le seul fondement d'un traitement automatisé de
données destiné à définir le profil de
l'intéressé ou à évaluer certains aspects de sa
personnalité, la
protection des droits et libertés des
personnes n'implique que de viser les seules décisions de refus
. Les
décisions ayant satisfait les demandes des personnes ne doivent donc pas
être concernées.
Votre commission des Lois vous propose donc d'
adopter onze amendements, dont
cinq rédactionnels, puis d'adopter l'article 2 ainsi modifié
.
Article 3
(Chapitre III de la loi n° 78-17 du 6 janvier
1978)
Dispositions relatives à la
CNIL
Cet
article déplace dans un chapitre III les dispositions relatives à
la CNIL figurant actuellement au chapitre II de la loi du 6 janvier 1978 et
insère donc neuf articles (11 à 21 modifiés) à la
place des articles 6 à 13 actuels.
L'article 28 de la directive prévoit l'institution dans chaque Etat
membre «
d'une ou plusieurs autorités de
contrôle
» chargées de surveiller l'application des
nouvelles dispositions. En France, la CNIL, déjà chargée
de la protection des informations nominatives depuis près de 25 ans
et devenue familière aux citoyens, aux entreprises privées et aux
autorités publiques, sera chargée de ces missions.
Pour ce faire, sa composition, son rôle et ses méthodes doivent
être revus.
Article 11 modifié de la loi du 6 janvier 1978
Missions de la
CNIL
La
Commission nationale de l'informatique et des libertés conserve son nom,
en dépit de l'évolution de ses modes d'intervention, afin de
marquer une continuité et alors même qu'on aurait pu parler de
Commission nationale de l'informatique, « des fichiers » et
des libertés, puisque les fichiers manuels seront bientôt soumis
aux mêmes dispositions.
L'article 28 de la directive prévoit que la CNIL doit être une
«
autorité administrative
indépendante
», précision qui figurait
déjà à l'article 8 de la loi du
6 janvier 1978. C'était d'ailleurs la première fois que
ce terme était employé en droit français, donnant ainsi
naissance à une nouvelle catégorie d'institutions
administratives.
La CNIL compte en 2002 74 agents, contre 55 en 1995. Ses effectifs sont donc en
forte progression. Il est prévu de porter les effectifs
budgétaires de la CNIL à 92 agents dès 2004 et 97 en 2005.
L'autorité britannique, aux compétences moins étendues,
comprend déjà 110 personnes et l'autorité allemande plus
de 250 personnes. En France, le Conseil supérieur de l'audiovisuel ou
l'Autorité de régulation des télécommunications
sont également des organismes beaucoup mieux dotés que la CNIL.
Les missions de la CNIL sont précisées dans les 1° A,
1°, 2° et 3° de cet article, et reprennent les nouvelles formes
de protection préconisées par la directive, outre les mentions
figurant déjà aux articles 21, 22 et 23 de la loi du 6 janvier
1978.
Ses missions évoluent fortement puisque les traitements du secteur
privé et du secteur public seront désormais soumis aux
mêmes règles et que le régime de contrôle
-contrôle
a priori
réduit, contrôle
a
posteriori
appelé à se développer- change de nature.
L'Assemblée nationale, à l'initiative du rapporteur,
M. Gérard Gouzes, a tout d'abord complété la
liste des attributions de la CNIL par la mission d'information
générale des personnes de leurs droits et obligations qu'assure
d'ores et déjà la CNIL.
Votre commission des Lois vous propose d'adopter un
amendement
précisant que la CNIL doit
non seulement
informer
les
personnes concernées par des traitements de données à
caractère personnel, mais également
les responsables de
traitements
, afin que s'instaure une véritable collaboration entre
la CNIL et eux.
La CNIL assure en outre trois catégories de missions : assurer le
respect des dispositions de la loi, conseiller les professionnels et assurer
une veille technologique et juridique.
- Le 1° reprend la disposition générale de l'article 6
de la loi de 1978 prévoyant que la CNIL veille aux dispositions de la
loi, référence étant ici faite aux traitements de
données à caractère personnel, objet de la directive. A ce
titre, elle exerce neuf missions.
a) Conformément au nouveau régime de protection
instauré par la directive, la CNIL :
-
autorise les traitements relevant de l'article 25
,
c'est-à-dire ceux portant sur des données sensibles lorsqu'un
intérêt public l'impose, ceux portant sur des données
génétiques, des infractions, condamnations ou mesures de
sûreté, ayant pour finalité de sélectionner les
personnes susceptibles de bénéficier d'un droit, de
procéder à des interconnexions de fichiers, portant sur le
numéro d'inscription des personnes au répertoire national
d'identification des personnes physiques, comportant des appréciations
sur les difficultés sociales des personnes, ou des données
biométriques ;
-
donne un avis sur les traitements mentionnés aux articles 26
et 27
. Il s'agit des traitements intéressant la sûreté
de l'Etat, la défense ou la sécurité publique, ayant pour
objet la prévention, la recherche ou la poursuite des infractions
pénales ou des mesures de sûreté (article 26), ainsi que
les traitements mentionnés à l'article 27, mis en oeuvre pour le
compte de l'Etat, d'une personne morale de droit public ou d'une personne
morale de droit privé gérant un service public, et portant sur
des données parmi lesquelles figure le numéro d'inscription des
personnes au répertoire national d'identification des personnes
physiques ou portant sur la totalité ou la quasi-totalité de la
population de la France ;
-
reçoit les déclarations
relatives aux autres
traitements, la simple déclaration devenant ainsi le principe, alors que
le contrôle préalable absorbe actuellement 75 % de
l'activité de la CNIL.
b) La CNIL établit et publie des
normes simplifiées
(article 24 modifié) pour les catégories les plus
courantes de traitements de données à caractère personnel,
dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie
privée ou aux libertés. Une telle disposition est
déjà prévue par l'article 17 de la loi du 6 janvier 1978.
Sur les 803.765 avis préalables à la mise en oeuvre des
traitements au 31 décembre 2001, 67,5 % ont été
déclarés selon une procédure simplifiée.
La CNIL peut également édicter des règlements types en vue
d'assurer la sécurité des systèmes, possibilité
déjà existante.
c) La CNIL reçoit également les réclamations,
pétitions et plaintes relatives à la mise en oeuvre des
traitements de données à caractère personnel et informe
leurs auteurs des suites données ;
d) La CNIL joue également un
rôle consultatif
auprès des pouvoirs publics et, le cas échant, des juridictions.
La même disposition figure à l'article premier du décret
d'application de la loi de 1978
15(
*
)
.
La CNIL peut donc intervenir en amont de l'avis qu'elle sera amenée
à donner, par exemple sur les projets de loi ou de décret
(mission prévue au a) du 3° de cet article), comme elle l'a souvent
fait. Elle conseille également les personnels ou organismes mettant en
oeuvre des traitements automatisés de données à
caractère personnel ou envisageant de le faire. Depuis sa
création, la CNIL a ainsi reçu plus de 11.500 demandes de
conseil, dont 973 pour l'année 2001, qui ont concerné, par ordre
décroissant d'importance, le travail, la santé, l'immobilier et
la fiscalité ;
- La CNIL
informe sans délai le procureur de la
République
des informations dont elle a connaissance (e), ainsi que
le prévoient déjà le point 4° de
l'article 21 de la loi de 1978 et l'article 40 du code de
procédure pénale.
La mise en mouvement de l'action publique appartient au ministère public
sous réserve des constitutions de parties civiles. Le rapport de
M. Guy Braibant n'a pas jugé opportun de doter la CNIL de ce
pouvoir, la CNIL n'ayant que rarement fait usage de sa faculté de saisir
le ministère public. Il estimait néanmoins que la CNIL devait
pouvoir se constituer partie civile ou du moins présenter des
observations écrites et orales dans la procédure d'appel de ses
décisions prononçant des sanctions pécuniaires, ainsi que
dans les procédures pénales, et qu'elle devait pouvoir former des
recours pour excès de pouvoir contre les actes portant atteinte à
son statut ou à ses prérogatives.
Le projet de loi prévoit désormais la possibilité de
présenter des observations dans les procédures pénales
relatives aux infractions informatiques, dans les conditions prévues
à l'article 52 nouveau de la loi. Ainsi, le procureur de la
République avise le président de la CNIL de toutes les poursuites
en ce domaine et peut l'appeler (ou son représentant) à
déposer ses observations ou à les développer oralement
lors des audiences.
Cette nouvelle possibilité découle du point 3 de l'article 28 de
la directive, qui prévoit pour les autorités de contrôle
«
le pouvoir d'ester en justice en cas de violation des
dispositions nationales prises en application de la présente directive
ou [le] pouvoir de porter ces violations à la connaissance de
l'autorité judiciaire
». Cette mission pourra être
exercée par le président ou le vice-président
délégué conformément à l'article 15
modifié de la loi du 6 janvier 1978.
- la possibilité de charger un ou plusieurs de ses membres de
procéder à des vérifications
et, le cas
échéant, d'obtenir des copies de tous documents utiles (f).
La loi du 6 janvier 1978 prévoit déjà une
disposition analogue dans le 2° de son article 21.
La référence à des experts pouvant assister les membres ou
agents de la CNIL, qui figure à l'article 21 précité, est
transposée au deuxième alinéa du III de l'article 44
modifié de la loi, lequel détaille les nouveaux pouvoirs
d'investigation et de contrôle sur place de la CNIL. Alors que l'actuel
article 11 de la loi de 1978 lui permet de demander l'aide de magistrats
délégués pour des mesures d'investigation et de
contrôle, il appartiendra dorénavant à la CNIL seule
d'exercer pleinement ce pouvoir de contrôle
a posteriori
.
La directive va entraîner un bouleversement des modalités
d'intervention de la CNIL. Alors que son activité se concentre à
près de 75 % sur le contrôle
a priori
, elle devra
désormais réorienter son action sur le contrôle
a
posteriori
, mieux à même de garantir effectivement la
protection des droits fondamentaux et libertés individuelles.
Le président ou le vice-président pourront procéder
à la désignation de ces membres ou agents préposés
aux vérifications, conformément à l'article 15
modifié de la loi du 6 janvier 1978.
Le point 3 de l'article 28 de la directive prévoit en effet que
l'autorité de contrôle détient des pouvoirs
d'investigation, tels que le pouvoir d'accéder aux données
faisant l'objet d'un traitement et de recueillir toutes les informations
nécessaires à l'accomplissement de sa mission de contrôle.
- La CNIL est également investie d'un pouvoir de sanction (g) par
l'article 45 modifié de la loi inséré par l'article 7 du
présent projet de loi. Ainsi, la CNIL pourra prononcer un avertissement
à l'égard du responsable du traitement, ou le mettre en demeure
de faire cesser le manquement. S'il n'obtempère pas, elle pourra
prononcer à son encontre, après une procédure
contradictoire, une sanction pécuniaire, une injonction de cesser le
traitement ou, en cas d'urgence, décider l'interruption de la mise en
oeuvre du traitement pour une durée maximale de trois mois ou saisir le
Premier ministre, s'agissant des traitements de souveraineté, si la mise
en oeuvre du traitement ou l'exploitation des données entraîne une
violation des droits et libertés.
Par ailleurs, en cas d'atteinte grave et immédiate et immédiate
aux droits et libertés, le président de la CNIL pourra demander
par voie de référé au juge compétent d'ordonner, le
cas échéant sous astreinte, toute mesure de
sécurité nécessaire.
Ces différentes sanctions seront décidées par la formation
restreinte de la CNIL, conformément à ce que prévoit
l'article 17 modifié de la loi du 1978, inséré par le
présent article.
- La CNIL traite également les demandes d'accès indirect (h)
prévues par les articles 41 et 42 modifiés de la loi de 1978
(insérés par l'article 5 du présent projet de loi),
portant respectivement sur les traitements intéressant la
sûreté de l'Etat, la défense ou la sécurité
publique ou ceux constitués à des fins de recherche et de
constatation des infractions ou à des fins fiscales.
Les demandes d'accès seront alors adressées à la CNIL, qui
désignera l'un de ses membres appartenant ou ayant appartenu au Conseil
d'Etat, à la Cour de cassation ou à la Cour des comptes pour
mener toutes investigations utiles et faire procéder aux modifications
nécessaires. Si les données ne mettent pas en cause les
finalités poursuivies par ces traitements, ces données ou
résultats seront communiqués au requérant. Dans le cas
contraire, la CNIL informera le requérant qu'il a été
procédé aux vérifications.
La disposition de l'article 40 actuel de la loi de 1978 prévoyant que
les informations à caractère médical ne peuvent être
communiquées à l'intéressé que par
l'intermédiaire d'un médecin n'est pas reprise, la
loi n° 2002-303 du 4 mars 2002 relative aux droits des malades
et à la qualité du système de santé ayant
réformé les modalités d'information des malades en
organisant un droit d'accès direct aux dossiers médicaux (nouvel
article L. 1111-7 du code de la santé publique).
Un
deuxième type de missions dévolues à la CNIL
(2° de l'article 3 du projet de loi) comprend
celles d'ailleurs
déjà exercées par la CNIL «
à la
demande des organismes professionnels regroupant les responsables de
traitements
»
:
Votre commission des Lois vous propose d'adopter un
amendement
pour
permettre à des organismes, qui ne regroupent pas forcément que
des responsables de traitements (par exemple des associations de chercheurs ou
d'informaticiens), de demander des avis à la CNIL ou de faire homologuer
des règles. Il s'agit en effet de développer la
coopération entre la CNIL et tous les organismes susceptibles de
détenir des données à caractère personnel.
- la CNIL
donne un avis sur la conformité des projets de
règles professionnelles et des systèmes et procédures
tendant à la protection des personnes à l'égard du
traitement de données à caractère personnel.
Votre commission des Lois vous propose d'adopter un
amendement
tirant
les conséquences des amendements proposés aux articles 8 et 32
modifiés de la loi et tendant à inciter les responsables de
traitements à procéder à une anonymisation des
données collectées par un allègement des formalités.
Il précise donc que
ces règles professionnelles
homologuées par la CNIL pourront également avoir pour objet
l'anonymisation des données
;
- elle porte une appréciation sur les garanties offertes par ces
règles professionnelles ;
- elle délivre un label à des produits ou à des
procédures ; c'est ainsi que la CNIL a élaboré un
code de déontologie à l'usage des professionnels du marketing qui
a incontestablement eu de fortes répercussions sur ces activités.
Enfin, la CNIL joue un
rôle de veille tant technologique que
juridique
(3° de l'article 11 modifié par l'article 3 du
présent projet de loi) en s'inspirant de l'actuel article 21 de la loi
de 1978, qui prévoit qu'elle se tient informée «
de
l'évolution des technologies de l'information et des conséquences
qui en résultent pour l'exercice des libertés
», en
précisant qu'elle «
se tient informée des
activités industrielles et de services qui concourent à la mise
en oeuvre de l'informatique
».
Votre commission des Lois vous propose d'adopter un
amendement reconnaissant
à la CNIL le droit d'informer le public des risques que peuvent
présenter de nouvelles technologies
, ainsi qu'elle le fait
d'ailleurs déjà actuellement. On peut par exemple citer son
récent rapport sur la cybersurveillance au travail. Il s'agit
d'éviter que se reproduise le défaut d'anticipation des
bouleversements provoqués par de nouvelles technologies comme l'internet.
A ce titre, la CNIL :
- est
consultée sur tout projet de loi ou de décret
relatif à la protection des personnes à l'égard des
traitements informatiques (a). Votre commission des Lois vous propose d'adopter
un
amendement
rédactionnel remplaçant le mot
«
informatiques
» par
«
automatisés
».
Le point 2) de l'article 28 de la directive prévoit d'ailleurs que les
autorités de contrôle sont consultées lors de
l'élaboration des mesures réglementaires ou administratives
relatives à la protection des droits et libertés des personnes
à l'égard du traitement de données à
caractère personnel.
L'Assemblée nationale a adopté, à l'initiative du
rapporteur, M. Gérard Gouzes, et avec l'avis favorable du
Gouvernement, un amendement tendant à lever toute ambiguïté
sur l'étendue de cette consultation ;
- La CNIL propose au Gouvernement des mesures législatives ou
réglementaires d'adaptation à l'évolution de la
technologie. Cette disposition figure déjà à l'article
premier du décret d'application de 1978 ;
Par ailleurs, votre commission des Lois vous propose d'adopter un amendement
prévoyant que la
CNIL peut apporter son concours à d'autres
autorités administratives indépendantes
en matière de
protection des données, une telle collaboration pouvant s'avérer
particulièrement fructueuse, qu'il s'agisse de l'Autorité de
régulation des télécommunications (ART), de la Commission
d'accès aux documents administratifs (CADA) ou du Conseil
supérieur de l'audiovisuel (CSA) ;
- elle peut être
associée, à la demande du Premier
ministre, à la préparation de la position française dans
les négociations internationales
relatives aux traitements de
données à caractère personnel. La formule de l'association
répond au statut particulier de la CNIL qui, autorité
administrative indépendante, ne peut recevoir d'injonction du
Gouvernement, ni le représenter, celui-ci étant seul responsable
de la conduite de la politique étrangère.
Le rapport de M. Guy Braibant, ainsi que l'avis de la CNIL
16(
*
)
, déploraient que la France soit
représentée dans ses relations avec les institutions
internationales (Conseil de l'Europe, Union européenne, OCDE) sur la
protection des données à caractère personnel par le
commissaire du Gouvernement auprès de la CNIL. Ils estimaient cette
situation équivoque, le commissaire du Gouvernement étant
à tort considéré comme le représentant de la CNIL,
alors même que la CNIL a noué des relations avec ses homologues
étrangers et que certains de ses membres ou agents sont entendus comme
experts par des institutions internationales.
Votre commission des Lois vous propose d'adopter un
amendement permettant
l'association de la CNIL à la définition de la position
française et sa participation, à la demande du Premier ministre,
à la représentation française dans les organisations
internationales et communautaires compétentes
. Il s'agit d'assurer
l'information de la CNIL sur le déroulement des négociations
internationales relatives à la protection des données à
caractère personnel, afin d'éviter sa mise à
l'écart, qui constitue aujourd'hui trop souvent la règle.
Par ailleurs, l'avant-dernier alinéa de l'article 11 modifié de
la loi de 1978 reprend les dispositions figurant actuellement aux articles 6 et
21 et prévoit que la CNIL peut prendre «
des
décisions individuelles ou réglementaires
». Les
décisions individuelles peuvent porter sur des problèmes
d'organisation ou de fonctionnement de la commission (constatation des
incompatibilités par exemple) ou concerner des tiers (notamment
s'agissant des pouvoirs de sanction et d'investigation). Parmi les mesures
réglementaires figurent le règlement intérieur,
l'élaboration de normes simplifiées ou de règlements types
visant à assurer la sécurité des systèmes. La CNIL
peut également procéder par voie de recommandations, sans effet
contraignant, mais destinées à orienter l'action et les
méthodes des pouvoirs publics et des responsables de traitements.
Enfin, la CNIL présente chaque année au Président de la
République et au Parlement un rapport public rendant compte de
l'exécution de sa mission. Il s'agit de la simple reprise des
dispositions du premier alinéa de l'article 23 actuel de la loi du 6
janvier 1978. Ce rapport devrait avoir davantage une valeur pédagogique
et dénoncer les abus constatés.
Votre commission des Lois vous propose d'adopter un
amendement
tendant
à prévoir que ce rapport sera également remis au Premier
ministre, ce qui est déjà le cas en pratique.
En revanche, n'a pas été repris le deuxième alinéa
de l'actuel article 23 de la loi, qui prévoit que ce rapport
décrit notamment les procédures et méthodes de travail
suivies par la commission et contient en annexe toutes informations sur
l'organisation de la commission et de ses services, propres à faciliter
les relations du public avec celle-ci. Il apparaît en effet trop
restrictif et peu législatif.
En outre, votre commission des Lois vous propose d'adopter un
amendement
rédactionnel
.
Article 12 modifié de la loi du 6 janvier
1978
Crédits
Actuellement, l'article 7 de la loi de 1978 prévoit que
la
CNIL est financée par des crédits inscrits au budget du
ministère de la Justice et que les dispositions de la loi du 10
août 1922 relative au contrôle financier ne sont pas applicables
à leur gestion, les comptes de la commission étant
présentés
a posteriori
à la Cour des comptes,
conformément à ce qui est prévu, par exemple, pour le
Médiateur de la République.
L'article 12 modifié de la loi reprend ces dispositions à
l'exception de la mention de l'inscription des crédits au budget du
ministère de la Justice. En effet, tous les crédits des
autorités administratives sont désormais
regroupés
17(
*
)
.
N'est pas non plus repris le dernier alinéa de l'article 7 de la loi de
1978 prévoyant la possibilité pour la CNIL de percevoir des
redevances pour certains actes -notamment l'accomplissement des
formalités de déclaration- cette disposition n'ayant en fait
jamais été mise en oeuvre.
Article 13 modifié de la loi du 6 janvier 1978
Dispositions
relatives aux membres de la CNIL
Cet
article comporte trois paragraphes fixant respectivement le nombre et l'origine
des membres de la CNIL, la durée de leur mandat et le règlement
intérieur de la commission.
1- Composition et origine des membres de la CNIL
Le nombre de membres de la CNIL, fixé à dix-sept par la loi du
6 janvier 1978, demeure inchangé.
S'il est supérieur à celui d'autres autorités
administratives indépendantes, comme la Commission des opérations
de bourse ou le Conseil de l'audiovisuel -neuf- ou des autres pays
européens
18(
*
)
, la CNIL a
cependant bien fonctionné, M. Guy Braibant la qualifiant dans son
rapport de «
petit parlement ou académie des
libertés
».
Néanmoins, pour des raisons pratiques, des formations plus restreintes
sont désormais prévues par les articles 16 et 17 modifiés
de la loi de 1978.
L'article 8 actuel de la loi du 6 janvier 1978 prévoit que la CNIL est
composée de dix-sept membres nommés pour cinq ans ou pour la
durée de leur mandat :
- deux députés et deux sénateurs élus
respectivement par l'Assemblée nationale et par le Sénat ;
- deux membres du Conseil économique et social, élus par
leur assemblée ;
- deux membres ou anciens membres du Conseil d'Etat, dont l'un d'un grade
au moins égal à celui de conseiller, élus par leur
assemblée générale ;
- deux membres ou anciens membres de la Cour de cassation, dont l'un d'un
grade au moins égal à celui de conseiller, élus par leur
assemblée générale ;
- deux membres ou anciens membres de la Cour des comptes, dont l'un d'un
grade au moins égal à celui de conseiller-maître,
élus par leur assemblée générale ;
- deux personnes qualifiées pour leur connaissance des applications
de l'informatique, nommées par décret sur proposition
respectivement du président de l'Assemblée nationale et du
président du Sénat ;
- trois personnalités désignées en raison de leur
autorité et de leur compétence par décret en Conseil des
ministres.
Il est en outre précisé que la commission élit en son sein
pour cinq ans un président et deux vice-présidents.
Le projet de loi propose divers aménagements.
Compte tenu de la technicité croissante de l'informatique, le projet de
loi initial proposait de laisser plus de place aux praticiens de
l'informatique. En effet, les représentants du secteur public occupent
une place prépondérante et la société civile une
place trop réduite. De même, les juristes sont en quasi-monopole
et les informaticiens absents. On compte ainsi actuellement quatre membres du
Conseil d'Etat dont l'actuel président et trois membres de la Cour des
comptes (au lieu des deux pour chaque catégorie formellement
prévus en 1978).
Le présent projet de loi proposait que le Conseil économique et
social ne désigne plus qu'un seul membre (au lieu de deux).
M. Gérard Gouzes, rapporteur, a néanmoins
rétabli leur nombre, jugeant cette diminution peu opportune et
soulignant que cette institution pouvait apporter à la CNIL le point de
vue des consommateurs, des salariés, des associations familiales et des
travailleurs indépendants. Il a en outre douté que des
informaticiens très spécialisés soient à même
de protéger les libertés individuelles.
Par ailleurs, le profil des personnalités désignées en
raison de leur compétence ou de leur autorité est modifié.
Ainsi, les deux personnes «
qualifiées pour leur
connaissance des applications de l'informatique et nommées par
décret sur proposition respectivement du président de
l'Assemblée nationale et du président du
Sénat
» seront désormais qualifiées
«
pour leur connaissance de l'informatique
», cette
formulation plus large devant permettre de ne pas nommer uniquement des
techniciens. Leur désignation se fera désormais directement par
le président du Sénat ou celui de l'Assemblée nationale,
ainsi que c'est déjà le cas en pratique.
Le projet de loi initial prévoyait en outre que le nombre de
personnalités désignées en raison de leur
compétence par décret en Conseil des ministres devait passer de
trois à quatre, que leur nomination ne requerrait plus qu'un
décret simple, et que deux d'entre elles devraient désormais
être «
qualifiées pour leur connaissance de
l'informatique
».
Du fait de l'adoption par l'Assemblée nationale de l'amendement de
M. Gérard Gouzes, rapporteur, rétablissant le nombre de
membres du Conseil économique et social, l'augmentation du nombre de
personnalités est supprimée.
Votre commission des Lois vous propose d'adopter un
amendement
prévoyant que les trois personnalités doivent être
qualifiées pour leur connaissance de l'informatique ou des questions
touchant aux libertés individuelles, dans un souci de cohérence.
A l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis
favorable du Gouvernement, l'Assemblée nationale a adopté un
amendement de précision, les parlementaires siégeant dans des
organismes extérieurs étant nommés par la commission
compétente de l'assemblée et non pas élus par
celle-ci
19(
*
)
.
En outre, le projet de loi confirme l'élection du président et de
deux vice-présidents par la Commission, tout en institutionnalisant la
fonction de «
vice-président
délégué
» pouvant être chargé
de fonctions spécifiques, conformément aux dispositions de
l'article 15 modifié de la loi de 1978.
Conformément aux orientations retenues par le rapport de
M. Guy Braibant, il apparaîtrait souhaitable que
l'exécutif du collège soit renforcé et qu'à
l'instar d'autres autorités administratives indépendantes, le
président et les deux vice-présidents exercent leur
activité à plein temps, quitte éventuellement à
faire une exception pour les députés et sénateurs.
2- Durée du mandat des membres de la CNIL
L'article 8 actuel de la loi prévoit que les membres de la CNIL sont
élus pour cinq ans ou pour la durée de leur mandat -ceci
concernant les parlementaires et les membres du Conseil économique et
social-.
Le paragraphe II de l'article 13 modifié de la loi de 1978 conserve
cette durée de 5 ans. Néanmoins, est introduite une limitation
à un renouvellement du mandat, suivant la suggestion du rapport de
M. Guy Braibant.
La désignation des parlementaires et des membres du Conseil
économique et social se fera après chaque renouvellement de
l'assemblée à laquelle ils appartiennent
20(
*
)
, le projet de loi indiquant qu'ils ne
peuvent être membres de la Commission plus de dix ans.
Votre commission des Lois vous propose d'adopter un
amendement supprimant
cette disposition qui aboutirait à ce que les sénateurs ne soient
désignés que pour une durée de trois ans
, durée
insuffisante pour appréhender pleinement les questions liées
à l'informatique et aux libertés.
La situation des membres actuels de la CNIL est réglée par
l'article 17 du présent projet de loi, qui prévoit qu'ils
demeurent en fonction jusqu'au terme normal de leur mandat.
La suggestion émise par le rapport de M. Guy Braibant de
porter la durée du mandat de cinq à six ans, comme c'est le cas
dans nombre d'autorités administratives indépendantes, n'a pas
été reprise.
Par ailleurs, il est précisé qu'un membre de la CNIL cessant
d'exercer ses fonctions en cours de mandat est remplacé dans les
mêmes conditions pour la durée du mandat restant à courir.
Ainsi, cette formulation clarifie le texte actuel qui pouvait laisser penser
qu'un président empêché serait remplacé directement
par le nouveau membre désigné, pour la durée restant
à courir de son mandat. Ce n'est qu'après la désignation
du nouveau membre que la CNIL sera amenée à élire un
nouveau président, pour une durée de cinq ans.
Afin de conserver à la CNIL son indépendance, il est en outre
réaffirmé que «
sauf démission, il ne peut
être mis fin aux fonctions d'un membre qu'en cas d'empêchement
constaté par la Commission dans les conditions qu'elle
définit
».
3- Le règlement intérieur de la CNIL
La disposition prévue actuellement à l'article 8 de la loi
donnant à la CNIL le pouvoir d'établir un règlement
intérieur est reprise, étant précisé que ce
règlement porte sur les «
règles relatives à
l'organisation ou au fonctionnement de la Commission
» et qu'y
figurent notamment les règles relatives aux délibérations,
à l'instruction des dossiers et à leur présentation devant
la commission.
La CNIL n'a établi de règlement intérieur qu'en
1987
21(
*
)
. Le présent
projet de loi conduira probablement à le modifier en profondeur,
s'agissant notamment des pouvoirs d'investigation, de contrôle et de
vérification sur place.
En outre, votre commission des Lois vous propose d'adopter
deux amendements
rédactionnels
ainsi qu'
un amendement de précision
.
Article 14 modifié de la loi du 6 janvier
1978
Incompatibilités
Pour
garantir son caractère d'autorité administrative
indépendante, l'actuel article 8 de la loi de 1978 prévoit
que la qualité de membre de la CNIL est incompatible :
- avec la qualité de membre du Gouvernement ;
- avec l'exercice de fonctions ou la détention de participation
dans les entreprises concourant à la fabrication de matériel
utilisé en informatique ou en télécommunication ou
à la fourniture de services en informatique ou en
télécommunication.
C'est à la CNIL qu'il appartient d'apprécier dans chaque cas les
incompatibilités qu'elle peut opposer à ses membres.
Le projet de loi reprend l'incompatibilité avec la fonction de membre du
Gouvernement, tout en assouplissant le dispositif concernant les membres
susceptibles d'exercer une compétence dans le secteur de l'informatique.
Il est
désormais prévu un simple déport
, un membre
de la Commission
ne pouvant participer à une
délibération ou procéder à des vérifications
relatives à un organisme au sein duquel il détient un
intérêt
, un mandat ou exerce des fonctions. Cette interdiction
est étendue aux fonctions ou participations intervenues au cours des
dix-huit mois précédant la délibération ou les
vérifications en cause.
Cet assouplissement, qui résulte de la volonté du Gouvernement de
voir siéger au sein de la Commission des professionnels de
l'informatique, afin de renforcer sa technicité, devait compléter
l'augmentation du nombre de personnalités qualifiées.
Le régime s'apparente à celui retenu depuis la
loi n° 96-597 du 2 juillet 1996 par l'article
L. 621-4 du code monétaire et financier pour les membres de la
Commission des opérations de bourse, qui prévoit qu'ils ne
peuvent participer à une délibération concernant une
affaire dans laquelle ils détiennent (ou ont détenu moins de 36
mois auparavant) un intérêt.
Votre commission des Lois vous
propose d'adopter deux amendements tendant
à aligner la durée prise en compte sur celle établie pour
la COB
, ainsi qu'à
préciser qu'il peut s'agir d'un
intérêt direct ou indirect
.
Le paragraphe III rend effective cette disposition en obligeant tout membre de
la CNIL à informer le président des intérêts et
mandats qu'il détient ou vient à détenir, ainsi que des
fonctions qu'il exerce ou vient à exercer.
Ces informations sont tenues à la disposition des membres de la
Commission et le président «
prend les mesures
appropriées
» pour en assurer le respect.
Votre commission des Lois vous propose d'adopter un
amendement
élargissant le rôle du président
.
En contrepartie du maintien du nombre élevé de membres de la
CNIL, le projet de loi crée une formation retreinte et institutionnalise
un bureau chargé de fonctions spécifiques.
Votre commission des Lois vous propose pour des raisons rédactionnelles
de déplacer les dispositions relatives à la composition de ces
deux organes à cet article.
Article 15 modifié de la loi du 6 janvier 1978
Rôle de la
formation plénière
La
réunion en formation plénière demeure la règle.
Comme actuellement, la voix du président est prépondérante
en cas de partage égal des voix.
L'actuel article 10 de la loi de 1978 prévoit que la commission peut
charger le président ou le vice-président
délégué :
- de la réception des déclarations de traitements
automatisés émanant de personnes privées (article 16)
;
- de l'établissement de normes simplifiées pour les
catégories les plus courantes de traitements à caractère
public ou privé ne comportant manifestement pas d'atteinte à la
vie privée ou aux libertés (article 17) ;
- d'avertir les intéressés et de dénoncer au parquet
des infractions dont elle a connaissance (article 32-4) ;
- de veiller au respect du droit d'accès et de rectification
(article 21-5) ;
- de recevoir les réclamations, pétitions et plaintes
(article 21-6) ;
- de vérifier les demandes de traitements de données
à caractère personnel de santé, de les interdire le cas
échéant et de déterminer leur durée de conservation
(article 40-13) ;
- d'instruire dans les deux mois les demandes de traitement de
données à caractère personnel de santé
(article 40-14).
Le projet de loi adapte ces dispositions en prévoyant des
délégations s'agissant de :
- la délivrance d'un récépissé lors de la
déclaration d'un traitement (troisième alinéa du I de
l'article 23) ;
- l'information du Procureur de la République des infractions dont
elle a connaissance, de la présentation d'observations dans les
procédures pénales, de la désignation de certains membres
de la CNIL pour vérifications portant sur tous traitements ou obtention
de copies (e et f du 1° de l'article 11).
A l'initiative de M. Gérard Gouzes, rapporteur,
l'Assemblée nationale a étendu le champ de ces
délégations :
- à celles relatives au droit d'accès indirect (articles 41
et 42 modifiés introduits par l'article 5 du présent projet de
loi) : c'est à dire relatives aux traitements intéressant la
sûreté de l'Etat, la défense ou la sécurité
publique ou les traitements mis en oeuvre par les administrations publiques et
les personnes privées chargées d'une mission de service public,
du contrôle ou du recouvrement des impositions ;
- à l'agrégation des données de santé
communiquées à des fins statistiques d'évaluation des
pratiques de soins et de prévention en vue de garantir la
non-identification des patients et à la vérification par la CNIL
au regard de la finalité des traitements de l'anonymisation des
données (articles 63 et 64 nouveaux -anciennement
articles 40-12 et 40-13 créés par la
loi n° 99-641 du 27 juillet 1999 portant création
d'une couverture maladie universelle-) ;
- à l'avis du Comité consultatif sur le traitement de
l'information en matière de recherche dans le domaine de la santé
sur la méthodologie de la recherche, la nécessité du
recours à des données à caractère personnel et la
pertinence de celles-ci par rapport à l'objectif de la
recherche (article 54 nouveau -ancien article 40-2 de la loi
créé par la loi n° 94-548 du
1er juillet 1994 relative au traitement de données nominatives
ayant pour fin la recherche dans le domaine de la santé-) ;
Mme Marylise Lebranchu, précédent Garde des Sceaux, avait
émis des réserves sur cette délégation des
autorisations en matière de recherche dans le domaine de la santé
et de l'évaluation des activités de soins, cette matière
constituant le seul domaine dans lequel serait déléguée
l'appréciation même à porter sur un traitement, et s'en
était par conséquent remise à la sagesse de
l'Assemblée nationale.
- à l'interdiction d'un transfert vers un Etat tiers dont la
Commission des Communautés européennes constate qu'il n'assure
pas un niveau de protection suffisant (article 70,
1
er
alinéa).
Le projet de loi initial prévoyait que l'examen des traitements
intéressant la sûreté de l'Etat, la défense ou la
sécurité publique (article 41 modifié), des
transmissions d'information à des fins d'évaluation des pratiques
de soins (articles 63 et 64 modifiés) serait
délégué, non au président ou au
vice-président délégué, mais au bureau de la
commission.
L'Assemblée nationale a cependant transféré ces
compétences au président de la CNIL, à l'initiative du
rapporteur, M. Gérard Gouzes, et avec l'avis favorable du
Gouvernement.
Votre commission des Lois vous
propose d'adopter un amendement tendant
à étendre les compétences du président ou du
vice-président délégué
:
-
à la réception des réclamations, plaintes et
pétitions
relatives à la mise en oeuvre des traitements de
données à caractère personnel, ainsi que l'information de
leurs auteurs sur les suites à donner. En pratique tel est
déjà le cas (article 11-1° c ) ;
-
à l'association
à la préparation de la
position française aux
négociations
internationales
(article 11-3° c ) ;
-
à l'information délivrée
par la CNIL
à la Commission des Communautés européennes et aux
autorités de contrôle des autres Etats membres des
décisions d'autorisation de transfert
de données à
caractère personnel qu'elle prend (dernier alinéa de l'article
69).
Article 16 modifié de la loi du 6 janvier 1978
Bureau de la
commission
Le
projet de loi institue formellement un bureau de la CNIL, composé du
président et de deux vice-présidents. L'article 9 du
règlement intérieur de la CNIL le prévoyait
déjà, mais il apparaissait comme une simple instance
d'information intervenant préalablement à une décision de
la Commission concernant, par exemple, une incompatibilité ou un
empêchement d'un membre.
Le bureau pourra désormais se voir déléguer par la
commission :
- l'habilitation des agents de la commission à participer à
la mise en oeuvre de missions de vérification (troisième
alinéa de l'article 19) ;
- lorsque la CNIL estime qu'un Etat tiers n'assure pas un niveau de
protection suffisant, l'information de la Commission européenne et
l'injonction au responsable du traitement de suspendre le transfert de
données. En fonction de la réponse de la Commission
européenne, elle lèvera la suspension ou prononcera
l'interdiction du transfert (deuxième alinéa de
l'article 70).
Comme il a déjà été précisé à
l'article précédent, le projet de loi initial prévoyait
que les traitements intéressant la sûreté de l'Etat, la
défense ou la sécurité publique (article 41
modifié) et les transmissions d'information à de fins
d'évaluation des pratiques de soins (articles 63 et 64 modifiés),
seraient délégués au bureau de la commission. Du fait des
modifications apportées par l'Assemblée nationale, ils
relèvent désormais du président ou du
vice-président délégué.
Enfin, le bureau peut aussi, en cas d'urgence, prononcer un avertissement
à l'égard du responsable du traitement ne respectant pas les
obligations découlant du présent projet de loi, et peut le mettre
en demeure de faire cesser le manquement constaté dans un certain
délai (premier alinéa du paragraphe I de l'article 45
modifié de la loi du 6 janvier 1978 introduit par l'article 7 du
présent projet de loi).
Votre commission des Lois vous propose d'
adopter un amendement
tendant
à prévoir que la Commission peut déléguer au bureau
l'
autorisation de certains traitements en cas d'urgence
, la CNIL devant
le prononcer de manière expresse dans un délai de deux mois
renouvelable une fois, ce qui peut faire craindre un engorgement de ses
services.
En outre, votre commission des Lois vous propose d'adopter un
amendement de
coordination
à l'amendement proposé à l'article 13
modifié.
Article 17 modifié de la loi du 6 janvier 1978
Pouvoirs de la
formation restreinte
Le
deuxième alinéa de cet article prévoit que la formation
restreinte de la commission est composée du président, des
vice-présidents et de trois membres élus par la commission en son
sein pour la durée de leur mandat, la voix du président
étant prépondérante en cas de partage égal des
voix.
Le projet de loi initial n'incluait qu'un vice-président
délégué dans sa composition mais l'Assemblée
nationale, à l'initiative de son rapporteur,
M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, a
décidé d'inclure également l'autre vice-président.
Le premier alinéa charge la formation restreinte de prononcer les
sanctions
prévues aux paragraphes I et 1° du II de l'article
45 modifié de la loi de 1978 (à l'exclusion du cas d'urgence
où le bureau peut intervenir), conformément aux
préconisations du rapport de M. Guy Braibant.
- Elle pourra donc prononcer un avertissement à l'égard du
responsable d'un traitement ne respectant pas les obligations de la loi du
6 janvier 1978, voire le mettre en demeure de faire cesser le manquement
constaté.
S'il persiste, la CNIL pourra prononcer à son encontre, après une
procédure contradictoire, une sanction pécuniaire, voire une
injonction de cesser le traitement ou de procéder à sa
destruction si celui ci était soumis à
déclaration. Elle pourra également retirer l'autorisation
prévue à l'article 25
22(
*
)
.
- La formation restreinte pourra également, dans le cadre du
1° du paragraphe II de l'article 45 modifié, décider
l'interruption de la mise en oeuvre du traitement ou le verrouillage de
certaines données, pour une durée maximale de trois mois en cas
d'urgence et, après une procédure contradictoire, lorsque la mise
en oeuvre d'un traitement ou l'exploitation des données traitées
entraîne une violation des droits et libertés
protégés par la CNIL.
Cette possibilité est toutefois exclue s'agissant des traitements de
données à caractère personnel
mis en oeuvre pour le
compte de l'Etat
et intéressant la sûreté de l'Etat, la
défense ou la sécurité publique ou ayant pour objet la
prévention, la recherche ou la poursuite des infractions pénales
ou l'exécution des condamnations pénales ou des mesures de
sûreté.
S'agissant de ces traitements ainsi que de ceux portant sur des données
sensibles, il appartiendra à la formation plénière de
saisir le Premier ministre afin de faire cesser la violation
constatée.
Article 18 modifié de la loi du 6 janvier 1978
Commissaire du
Gouvernement
L'actuel
article 9 de la loi du 6 janvier 1978 prévoit qu'un commissaire du
Gouvernement, désigné par le Premier ministre et rattaché
au Secrétariat général du Gouvernement, siège
auprès de la commission. Il peut, dans les dix jours d'une
délibération, provoquer une seconde délibération,
mais cette faculté n'a jamais été utilisée.
Selon une circulaire de 1993 du Premier ministre, il assure la coordination de
l'application de la loi de 1978 au sein des différentes administrations.
A cet effet, des correspondants CNIL sont désignés dans chaque
ministère.
Le rapport de M. Guy Braibant s'interrogeait sur l'opportunité de son
maintien, soulignant que la coordination n'était pas toujours
assurée compte tenu de l'ampleur de la tâche et que
l'activité de la CNIL allait être consacrée en grande
partie au secteur privé, qui ne peut être contraint de s'adresser
à la CNIL par l'intermédiaire du Gouvernement.
Il appelait, en cas de maintien, à ce qu'il soit doté d'une
autorité nécessaire -notamment en étant issu d'un grand
corps de l'Etat et situé à un niveau élevé de la
hiérarchie- et qu'il dispose d'adjoints et de services suffisants pour
nouer des relations approfondies avec toutes les administrations, mais
également avec le secteur privé.
L'article 18 modifié réaffirme la présence d'un
commissaire du Gouvernement tout en la précisant. Des commissaires
adjoints pourront être désignés dans les mêmes
conditions, ainsi que le prévoit d'ailleurs déjà l'article
4 du décret modifié d'application de la loi n° 78-774 du
17 juillet 1978 «
en cas d'absence ou
d'empêchement
».
Pour tenir compte de l'insertion dans la loi de toutes les formations de la
CNIL (bureau, formation restreinte), il est désormais
précisé que le commissaire du Gouvernement assiste à
toutes les délibérations de la commission dans ses
différentes formations. Il est rendu destinataire de tous ses avis et
décisions.
Votre commission des Lois vous propose d'adopter un
amendement excluant le
commissaire du Gouvernement du bureau
, dont les compétences portent
essentiellement sur l'organisation interne.
Le dernier alinéa lui conserve la possibilité de provoquer une
seconde délibération, sauf en matière de sanctions.
Article 19 modifié de la loi du 6 janvier 1978
Services de la
CNIL
L'actuel
article 10 de la loi prévoit que la CNIL dispose de services
dirigés par le président ou, sur délégation, par un
vice-président, et placés sous son autorité. Votre
commission des Lois vous propose de
supprimer cette possibilité de
délégation au vice-président et de procéder
à quelques modifications rédactionnelles
.
Les agents de la commission sont nommés par le président ou le
vice-président délégué.
Le Chapitre II du règlement intérieur de la CNIL mentionne en
outre un secrétaire général chargé de coordonner et
d'animer les services.
Actuellement, 70 personnes travaillent à la CNIL, au sein de cinq
directions : de l'administration et de la communication ; de
l'expertise informatique et des contrôles ; des affaires
européennes, internationales et de la prospective ; des affaires
publiques et sociales ; des affaires économiques ainsi que
d'un service des plaintes et des requêtes générales.
Outre la reprise de ces dispositions, l'article 19 modifié,
introduit par l'article 3 du projet de loi, prévoit que les agents de la
commission peuvent être appelés à participer à la
mise en oeuvre des missions de vérification prévues à
l'article 44 nouveau de la loi. Il est cependant précisé qu'une
telle habilitation «
ne dispense pas de l'application des
dispositions définissant les procédures autorisant l'accès
aux secrets protégés par la loi
».
Le développement du contrôle
a posteriori
, et en
particulier des vérifications sur place, nécessitera un
renforcement des moyens de la CNIL, notamment en personnel.
Article 20 modifié de la loi du 6 janvier 1978
Secret professionnel
des membres et agents de la CNIL
Le
dernier alinéa de l'article 28 de la directive 95/46 précise que
«
les Etats membres prévoient que les membres et agents des
autorités de contrôle sont soumis, y compris après
cessation de leurs activités, à l'obligation du secret
professionnel à l'égard des informations confidentielles
auxquelles ils ont accès
».
Actuellement, l'article 12 de la loi de 1978 indique déjà que
cette astreinte porte sur «
les faits, actes ou renseignements
dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les
conditions prévues à l'article 413-10 du code pénal et,
sous réserve de ce qui est nécessaire à
l'établissement du rapport annuel » (...) aux articles 226-13
et 226-14 du code pénal
».
L'article 413-10 du code pénal punit de sept ans d'emprisonnement et de
100.000 euros d'amende le fait de détruire, détourner,
soustraire, reproduire ou porter à la connaissance du public ou d'une
personne non qualifiée un renseignement ou un document ayant le
caractère de secret de la défense nationale.
L'article 226-13 du code pénal prévoit, quant à lui, que
l'atteinte au secret professionnel est punie d'un an d'emprisonnement et de
15.000 euros d'amende. L'article 226-14 du code pénal
prévoit cependant des dérogations afin de permettre de
révéler des sévices sexuels ou envers des mineurs ou des
personnes n'étant pas en mesure de se protéger.
L'article 20 nouveau reprend donc ces dispositions à l'exception de la
référence inutile à l'article 226-14 du code
pénal.
Article 21 modifié de la loi du 6 janvier 1978
Collaboration des
personnes contrôlées
Le
premier alinéa de cet article reprend le premier alinéa de
l'actuel article 13 de la loi prévoyant que, dans l'exercice de leurs
attributions, les membres de la CNIL ne reçoivent d'instruction d'aucune
autorité. Ceci découle de la nature d'autorité
administrative indépendante de la CNIL.
Le second alinéa de l'actuel article 13 prévoit que
«
les informaticiens appelés, soit à donner les
renseignements à la commission, soit à témoigner devant
elle, sont déliés en tant que de besoin de leur obligation de
discrétion
».
Le projet de loi élargit cette obligation de coopération
puisqu'il ne fait plus référence aux seuls informaticiens, mais
prévoit au contraire que «
sauf dans les cas où
elles sont astreintes au secret professionnel, les personnes interrogées
dans le cadre de[s] vérifications [...] sont tenues de fournir les
renseignements demandés par [la CNIL] pour l'exercice de ses
missions
».
Votre commission des Lois vous propose d'
adopter un amendement
tendant
à
réintégrer des précisions figurant à
l'article 21 de la loi actuelle
et permettant aux membres et agents de
la CNIL de procéder effectivement à des contrôles
a
posteriori
.
Il paraît en effet particulièrement opportun de rappeler que les
ministres, autorités publiques, dirigeants d'entreprises -publiques ou
privées-, responsables de groupements divers, et plus
généralement
les détenteurs ou utilisateurs de
traitements à caractère personnel ne peuvent s'opposer à
l'action de la CNIL et doivent au contraire prendre toutes mesures utiles afin
de faciliter sa tâche.
Votre commission des Lois vous propose donc d'
adopter 22 amendements,
dont sept rédactionnels, puis d'adopter l'article 3 ainsi
modifié
.
Article 4
(Chapitre IV de la loi n° 78-17 du 6 janvier
1978)
Formalités préalables à la mise en oeuvre des
traitements
- Régimes de la déclaration et de l'autorisation
-
La loi
du 6 janvier 1978 visait prioritairement à empêcher une
utilisation attentatoire aux libertés des traitements automatisés
d'informations nominatives par les pouvoirs publics. La loi prévoit donc
actuellement deux procédures distinctes en fonction de la nature
juridique du responsable des traitements.
A ce critère organique est substitué par les articles 18 et 20
de la directive 95/46 CE un critère matériel,
différenciant les obligations imposées au responsable du
traitement en fonction de la nature des données concernées et du
risque que leur traitement peut représenter pour les libertés
individuelles.
Là vont intervenir les plus grands changements. La directive
prévoit en effet, d'une part, la diminution du contrôle
a
priori
au profit du contrôle
a posteriori
et, d'autre part,
l'égalité entre les secteurs public et privé.
En conséquence, cet article du projet de loi substitue au chapitre IV en
vigueur un nouveau chapitre relatif aux «
formalités
préalables à la mise en oeuvre des traitements
»
comprenant trois sections traitant respectivement du contenu de la
déclaration
, qui
constitue le régime de droit
commun
(articles 23 et 24 modifiés), du champ d'application et
de la procédure d'autorisation préalable applicable à
certains types de traitement (articles 25 à 29 modifiés) et des
dispositions communes aux deux régimes (articles 30 et 31
modifiés).
Actuellement
, la loi du 6 janvier 1978 distingue les
traitements publics et privés :
-
les traitements «
opérés pour le compte de
l'Etat, d'un établissement public ou d'une collectivité
territoriale ou d'une personne morale de droit privé gérant un
service public
» sont soumis à une procédure
originale qui commence par un « avis motivé » de la
CNIL
(article 15).
Si l'avis est favorable, la décision est prise
par un acte réglementaire.
S'il est défavorable,
«
il ne peut être passé outre que par un
décret pris sur avis conforme du Conseil d'Etat
». Cette
deuxième disposition n'ayant jamais joué, la CNIL détient
en fait un pouvoir de refus d'autorisation ;
- les traitements effectués pour le compte d'
autres
personnes
ne sont soumis qu'
à une déclaration
qui
«
comporte l'engagement que le traitement satisfait aux exigences
de la loi
». Le récépissé doit être
délivré «
sans délai
», le
demandeur pouvant alors mettre en oeuvre le traitement sans être
toutefois «
exonéré d'aucune de ses
responsabilités
» (article 16).
Le Conseil d'Etat ayant condamné en 1997 la pratique de la CNIL
consistant en cas de doute à procéder à un examen de fond
de la déclaration, celle-ci doit se borner à vérifier sa
régularité formelle. La différence de régime entre
les secteurs public et privé s'en trouve encore renforcée.
Cette distinction est donc organique et simple.
Néanmoins, dans les deux secteurs sont prévues des
déclarations simplifiées pour les traitements courants et non
dangereux faisant l'objet de
normes simplifiées
(article 17).
La
directive
, au contraire, soumet les deux secteurs -à
l'exception des traitements de souveraineté, exclus de son champ
d'application- aux mêmes procédures.
La déclaration, devenue «
notification
»,
est érigée en procédure de droit commun.
Toutefois,
des possibilités de déclaration simplifiée, voire
même de dispense de déclaration sont prévues dans certains
cas (articles 18 et 19).
Au contraire,
les «
traitements susceptibles de
présenter des risques particuliers au regard des lois et libertés
des personnes concernées
» donnent lieu à des
«
contrôles préalables
»
. Cette
notion restant très large, de grandes différences peuvent
apparaître entre les Etats membres lors de la transposition, comme
l'avaient craint le Conseil d'Etat et l'Assemblée nationale.
Tableau récapitulatif des formalités
préalables
prévues par le projet de loi
|
Articles |
Traitements |
Dispense d'office par la loi |
22-III |
- Les
traitements ayant pour seul objet la tenue d'un registre qui, en vertu des
dispositions législatives ou réglementaires, est destiné
à l'information du public et est ouvert à la consultation de
celui-ci ou de toute personne justifiant d'un intérêt
légitime ;
|
Dispense
|
24-II |
Certains traitements courants non susceptibles de porter atteinte à la vie privée ou aux libertés (en fonction de leurs finalités, de leurs destinataires ou catégories de destinataires, des données traitées, et de la durée de conservation). |
Déclaration simplifiée |
24-I |
Les catégories les plus courantes de traitements dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés. |
Autorisation de la CNIL |
25 |
- Les
traitements
automatisés ou non
contenant des données
sensibles ;
|
Autorisation par arrêté ministériel après avis motivé et publié de la CNIL |
26 I |
Les
traitements mis en oeuvre pour le compte de l'Etat :
|
Autorisation par décret en Conseil d'Etat après avis motivé et publié de la CNIL |
26 II
|
- Les
traitements mis en oeuvre pour le compte de l'Etat contenant des données
sensibles :
|
Autorisation par arrêté ministériel après avis motivé et publié de la CNIL |
27 II |
- Les
traitements requérant la consultation du RNIPP sans inclure le NIR ;
|
Autorisation de la CNIL après avis d'un comité consultatif |
V bis |
Les traitements de recherche en matière de santé |
Autorisation de la CNIL |
V Ter |
Evaluation des pratiques de soins |
Déclaration à la CNIL |
22 |
Tous les autres traitements |
A- Le régime de la déclaration
Article 22 modifié de la loi du 6 janvier 1978
Régime de
droit commun de la
déclaration
Le point
1 de l'article 18 de la directive indique que «
les Etats membres
prévoient que le responsable du traitement ou le cas
échéant son représentant doit adresser une notification
à l'autorité de contrôle préalablement à la
mise en oeuvre d'un traitement entièrement ou partiellement
automatisé
».
L'article 22 modifié de la loi du 6 janvier 1978 reprend donc dans son
paragraphe I ce régime de droit commun de la déclaration
auprès de la CNIL.
Le 5 de l'article 18 de la directive indiquait que les Etats membres
«
peuvent prévoir
» que les traitements non
automatisés ou certains d'entre eux font également l'objet d'une
notification. Le rapport de M. Guy Braibant ne souhaitait pas utiliser
cette faculté, afin de ne pas augmenter encore le nombre de
déclarations ainsi que les formalités pesant sur les citoyens et
les entreprises. Il préconisait en outre que la question soit revue
à l'expiration de la période transitoire de douze ans
autorisée par l'article 32 de la directive pour la mise en
conformité des fichiers manuels, et a donc été suivi.
Cependant, le paragraphe II
dispense de toute formalité
préalable
les traitements :
- ayant pour seul objet la tenue d'un
registre
destiné
à l'information du public en vertu de dispositions législatives
ou réglementaires. Cette dérogation, nouvelle, concerne notamment
les registres du cadastre ou des hypothèques. Cette possibilité
était ouverte par l'article 18-3 de la directive ;
- ceux mis en oeuvre par les organismes à caractère
religieux, philosophique, politique ou syndical visés par le 2° du
II de l'article 8 modifié de la loi.
Cette dernière exception, déjà étudiée
à l'article 8 modifié, règle un conflit de
libertés, l'interdiction de collecter et de traiter des données
sensibles ne devant pas empêcher les partis, les syndicats, les
églises de recenser leurs propres membres à usage interne.
Néanmoins, le responsable n'est dispensé que des
formalités préalables liées au contrôle
a
priori
, prévues par le chapitre IV de la loi. En effet, la
situation particulière des associations et organismes en cause ne
saurait justifier l'exemption de tout contrôle
a posteriori
.
Votre commission des Lois vous propose d'
adopter un amendement
tendant
à dispenser de toute formalité préalable les traitements
dont la finalité se limite à assurer la conservation à
long terme des documents d'
archives
, qui ne sont pas susceptibles de
présenter de risques pour les personnes physiques.
Votre commission des Lois vous propose de prévoir une
troisième exception et de dispenser de déclaration les
traitements pour lesquels le responsable a désigné un
correspondant à la protection des données à
caractère personnel chargé d'assurer d'une manière
indépendante l'application des obligations prévues au
présent chapitre et de tenir un registre des traitements
effectués.
Il s'agit de la transposition du point 2 de l'article 18 de la
directive 95/46 qui précise que les Etats membres peuvent
prévoir une simplification de la notification ou une dérogation
à cette obligation pour les traitements qui «
compte tenu
des données à traiter, ne sont pas susceptibles de porter
atteinte aux droits et libertés des personnes
concernées
», ainsi qu'en cas de présence d'un tel
correspondant.
Cette disposition a été insérée dans la directive
à la demande expresse de l'Allemagne, où existent
déjà de tels correspondants.
Le rapport de M. Guy Braibant n'était pas favorable à leur
introduction en France, soulignant que si elle se rattachait en Allemagne
à une certaine culture de cogestion, l'institution de ces correspondants
se heurterait en France à des difficultés, la directive exigeant
en effet leur indépendance. Qu'ils soient membres du personnel ou
extérieur à l'entreprise, ils seraient de toute façon
rémunérés par celle-ci. Il indiquait que si la situation
n'était pas sans précédents -médecins du travail ou
experts-comptables-, ces professions étaient réglementées,
protégées par un ordre et un code de déontologie, alors
que le correspondant se trouverait sans doute dans une situation inconfortable
vis à vis du chef d'entreprise.
Par conséquent, le rapport de M. Guy Braibant suggérait de ne
retenir cette institution que pour la presse, où elle pourrait concilier
liberté d'expression et protection de la vie privée.
Si votre commission des Lois est sensible à ces arguments, il
apparaît cependant nécessaire d'instituer un véritable
réseau de correspondants de la CNIL comparables aux
«
Company privacy officers
».
Aux Etats-Unis, près de 500 entreprises disposent d'ores et
déjà de tels correspondants. En Corée du Sud, leur
institution est d'ailleurs obligatoire, ainsi qu'en République slovaque,
s'agissant des entreprises dans lesquelles des contrôleurs de
systèmes supervisent plus de cinq personnes. En Allemagne, les
entités tant publiques que privées de plus de quatre
employés doivent avoir un «
data protection
officer
». En Finlande, le «
Data Protection
Ombudsman
» a recommandé que les compagnies emploient un
correspondant à la protection des données, ainsi que les
autorités de protection en Norvège, Suisse et Grande-Bretagne.
Certains Etats, comme l'Allemagne, les Pays-Bas et la Suède, exemptent
les entreprises employant un délégué à la
protection des données de certaines obligations légales (comme la
déclaration des traitements de données à l'autorité
de protection).
Ceci constitue d'ailleurs une recommandation de l'OCDE.
Votre commission des Lois vous propose donc d'introduire en droit
français cette institution.
Leur mise en place doit permettre à la CNIL de disposer d'un
réseau de correspondants, ainsi que cela existe déjà dans
le secteur public. En effet, une seule autorité de contrôle ne
peut pas tout assurer.
Ces correspondants ont prouvé leur contribution à une meilleure
collaboration entre les entreprises et la CNIL puisque certaines entreprises,
une fois privatisées, ont choisi de les conserver.
Cette possibilité pourrait d'ailleurs s'avérer
particulièrement utile pour les collectivités territoriales, qui
souffrent parfois d'un manque d'expertise pour les plus petites d'entre elles.
Votre commission des Lois vous propose cependant d'
encadrer
les
allègements de formalités préalables.
La désignation du correspondant sera notifiée à la
Commission nationale de l'informatique et des libertés et portée
à la connaissance des instances représentatives du personnel.
Il ne pourra faire l'objet d'aucune sanction de la part de l'employeur du fait
de l'accomplissement de ses missions, et pourra saisir la Commission nationale
de l'informatique et des libertés des difficultés qu'il rencontre
dans l'exercice de ses attributions. En cas de manquement constaté
à ses devoirs, le correspondant pourra être révoqué,
sur demande ou après consultation de la Commission nationale de
l'informatique, et le responsable du traitement pourra être enjoint
à procéder à la déclaration prévue à
l'article 23 en application des dispositions de l'article 45-I.
En outre, un décret en Conseil d'Etat précisera les
modalités d'application de cet article.
Le dernier paragraphe de cet article précise toutefois qu'en l'absence
de déclaration préalable, le responsable du traitement doit
communiquer à toute personne en faisant la demande certaines
informations : dénomination et finalité du traitement,
identité et adresse du responsable ou de son représentant s'il
est établi hors de l'Union européenne, personne ou service
auprès duquel s'exerce le droit d'accès, données à
caractère personnel faisant l'objet du traitement, les destinataires
habilités à en recevoir communication, ainsi que les transferts
de données à caractère personnel envisagés à
destination d'un Etat tiers (2° à 6° de l'article 31).
Article 23 modifié de la loi du 6 janvier
1978
Déclaration
En vertu
de l'article 23 modifié de la loi réitérant l'obligation
prévue par l'article 16 actuel, la déclaration doit
comporter l'engagement que le traitement satisfait aux exigences de la loi.
Le deuxième alinéa la complète en prévoyant qu'elle
peut être adressée à la CNIL par voie électronique,
celle-ci délivrant alors sans délai un
récépissé, le cas échéant par voie
électronique. C'était une préconisation du rapport de
M. Guy Braibant, qui rappelait que des lois récentes avaient
prévu la transmission par «
voie
télématique
», par «
voie
informatique
» ou encore par «
voie
électronique
»
23(
*
)
et qu'il s'agissait d'une
revendication des entreprises.
Le demandeur peut mettre en oeuvre le traitement dès réception de
ce récépissé mais il n'est exonéré d'aucune
de ses responsabilités. Le défaut de déclaration est
passible des sanctions prévues par l'article 226-16 du code
pénal, modifié par l'article 14 du présent projet de loi.
Le paragraphe II de l'article 23 modifié prévoit en outre
que les traitements relevant d'un même responsable et ayant des
finalités identiques ou liées entre elles peuvent faire l'objet
d'une déclaration unique.
Actuellement, une déclaration est requise pour chaque traitement. Les
représentants des entreprises entendus par votre rapporteur ont
souhaité que puisse être faite une
déclaration unique
pour l'ensemble des traitements d'un même organisme «
ayant
une même finalité ou des finalités
liées
»
, ainsi que l'autorise la directive. Il s'agit
d'une mesure de simplification afin de permettre une déclaration unique
s'agissant d'entreprises comprenant de nombreuses filiales.
Il s'agissait d'ailleurs d'une préconisation du rapport de
M. Guy Braibant.
Votre commission des Lois vous propose donc d'adopter un
amendement
en
ce sens.
Article 24 modifié de la loi du 6 janvier 1978
Normes
simplifiées
L'article 17 actuel de la loi du 6 janvier 1978 prévoit
que
la CNIL établit et publie des normes simplifiées pour les
catégories les plus courantes de traitements, qu'ils soient à
caractère public ou privé, ne comportant manifestement pas
d'atteinte à la vie privée ou aux libertés. Seule une
déclaration simplifiée de conformité à l'une de ces
normes doit alors être déposée auprès de la
commission.
Cette disposition avait été introduite à l'initiative de
M. Raymond Forni. La première norme simplifiée a
été élaborée par la CNIL le
22 janvier 1980 et concerne les traitements automatisés
d'informations nominatives relatifs à la liquidation et au paiement des
rémunérations des personnels de l'Etat. Une cinquantaine de
normes simplifiées sont aujourd'hui en vigueur
24(
*
)
. Seule l'une d'entre elles fut
annulée par le Conseil d'Etat.
L'article 18-2 de la directive s'est inspirée de cette disposition en
précisant que les Etats membres peuvent prévoir une
simplification de la notification ou une dérogation à cette
obligation pour les traitements qui «
compte tenu des
données à traiter, ne sont pas susceptibles de porter atteinte
aux droits et libertés des personnes concernées
»,
les Etats membres devant préciser «
les finalités
des traitements, les données ou catégories de données
traitées, la ou les catégories de personnes concernées,
les destinataires ou catégories de destinataires auxquels les
données sont communiquées et la durée de conservation des
données
».
La directive n'indique pas quelle autorité doit en fixer le champ et
apporter ces précisions.
Le projet de loi précise que ces normes sont établies par la
CNIL, «
après avoir reçu le cas
échéant les propositions formulées par les
représentants des organismes publics et privés
représentatifs
», et reprend fidèlement les
précisions exigées par la directive.
Le dernier alinéa du paragraphe I prévoit enfin que les
traitements correspondant à l'une de ces normes font l'objet d'une
déclaration simplifiée de conformité envoyée
à la CNIL, le cas échéant par voie électronique.
Le paragraphe II du texte prévu pour l'article 24 modifié
indique, en outre, que
la CNIL peut définir
, parmi les
catégories de traitements dont la mise en oeuvre n'est pas susceptible
de porter atteinte à la vie privée et aux libertés,
celles qui sont dispensées de déclaration
, du fait de
leurs finalités, de leurs destinataires ou catégories de
destinataires, des données traitées, de la durée de
conservation de celles-ci et des catégories de personnes
concernées.
La CNIL l'a d'ailleurs déjà fait au moins fois, sans y être
expressément autorisée, sous l'empire de la loi du 6 janvier
1978. En effet, la rédaction de normes simplifiées lui permet
d'apprécier si la dérogation doit se limiter à permettre
une déclaration simplifiée ou peut aller jusqu'à une
dispense totale de déclaration.
Le rapport de M. Guy Braibant préconisait d'ailleurs qu'un grand nombre
de traitements soit dispensé de déclaration, afin de recentrer
l'action de la CNIL sur le contrôle
a posteriori
25(
*
)
.
De même, la CNIL peut autoriser les responsables de certaines
catégories de traitements à procéder à une
déclaration unique lorsqu'ils relèvent d'un même
responsable et ont des finalités identiques ou liées entre elles.
Enfin, votre commission des Lois vous propose d'adopter un
amendement
rédactionnel
.
B- les traitements soumis à autorisation préalable
1- la situation actuelle
Actuellement, la loi du 6 janvier 1978 prévoit deux types d'autorisation
préalable :
- hormis les cas où ils doivent être autorisés par la
loi, les traitements automatisés d'informations nominatives
opérés pour le compte de l'Etat, d'un établissement
public, d'une collectivité territoriale ou d'une personne morale de
droit privé gérant un service public
sont
décidés par un
acte réglementaire pris après
avis motivé de la CNIL
(article 15).
Si cet avis est défavorable, il ne peut être passé outre
que par un décret pris sur avis conforme du Conseil d'Etat
ou,
s'agissant d'une collectivité territoriale, en vertu d'une
décision de son organe délibérant approuvée par
décret pris sur avis conforme du Conseil d'Etat ;
- il peut, pour des motifs d'intérêt public, être fait
exception à l'interdiction de traitement des données dites
sensibles
sur proposition ou avis conforme de la CNIL par décret en
Conseil d'Etat (dernier alinéa de l'article 31).
2- la directive
Le 1° de l'article 20 de la
directive
95/46 CE
ne fixe pas de
liste de traitements devant être soumis à l'examen
préalable de l'autorité de contrôle
, ceci étant
laissé à la discrétion des Etats membres qui
«
précisent les traitements susceptibles de
présenter des risques particuliers au regard des droits et
libertés des personnes concernées et veillent à ce que ces
traitements soient examinés avant leur mise en
oeuvre
».
Par conséquent, sa transposition par les différents Etats membres
s'est faite de manière très hétérogène.
Pour la détermination de ces catégories de fichiers, le
précédent Gouvernement a largement tenu compte des propositions
contenues dans le rapport de M. Guy Braibant
26(
*
)
, mais également des
observations émises par la CNIL dans son avis sur le présent
projet de loi
27(
*
)
.
La directive emploie l'expression de «
contrôles
préalables
» dans le titre de l'article, celle d'
«
examens préalables
» dans son texte tandis
que le considérant 54 énonce qu'
« à la suite
de cet examen préalable, l'autorité de contrôle peut
émettre un avis ou autoriser le traitement
». C'est la
seule mention d'une autorisation.
Dans son avis, le Conseil d'Etat avait souhaité que la notion de
«
traitements présentant des risques particuliers au regard
des droits et libertés des personnes
[soit]
précisée par une énumération des principaux
traitements ainsi visés
». En effet, le considérant
53 de la directive n'évoque que la nature, la portée ou les
finalités du traitement et renvoie aux Etats membres le soin
«
s'ils le souhaitent, de préciser dans leur
législation de tels risques
», en ne citant à titre
d'exemples que l'exclusion des personnes du bénéfice d'un droit,
d'une prestation ou d'un contrat et l'usage particulier d'une technologie
nouvelle.
Le Conseil d'Etat dans son avis en avait évoqué d'autres :
«
les traitements portant sur les identifiants nationaux, des
données sensibles ou des données recueillies en l'absence de
consentement de la personne
».
Le rapport de M. Guy Braibant rappelait qu'un certain nombre de traitements et
de fichiers relèvent par eux-mêmes et directement du domaine de la
loi -grands fichiers nationaux de police et de sécurité,
traitements mettant en jeu des secrets particulièrement
protégés par la loi, interconnexions de traitements à
finalités différentes comme la protection sociale et la police et
enfin ceux se rattachant aux procédures pénales ou aux principes
fondamentaux de la sécurité sociale-.
Le considérant 54 de la directive dispose que le nombre de traitements
pouvant être soumis à autorisation «
devrait
être très restreint
», le considérant 52
rappelant que «
le contrôle a posteriori par les
autorités compétentes doit être en général
considéré comme une mesure suffisante
».
La CNIL a élaboré dans une délibération du 14 mai
1996 une liste de traitements à risques particuliers comprenant onze
rubriques : les matières ne relevant pas du droit communautaire
(sécurité publique, défense et sûreté de
l'Etat ; droit pénal ; contrôle de l'immigration et de
la régularité du séjour et du travail des ressortissants
de l'Union européenne) ; la mise en oeuvre de nouvelles
technologies ; les données sensibles ; les dérogations
aux principes protecteurs des personnes prévues à l'article 13 de
la directive (qualité des données, droit d'information, droit
d'accès, publicité des traitements) ; le recours au
numéro national d'identification ou à tout autre identifiant de
portée générale ; l'interconnexion entre fichiers
distincts ; les traitements conduisant à des décisions
individuelles automatisées ; l'exclusion des personnes d'un droit,
d'une prestation ou d'un contrat ; les enquêtes statistiques
obligatoires ; les traitements concernant la totalité de la
population ou une partie largement majoritaire de la population et les
flux transfrontières.
Le rapport de M. Guy Braibant préconisait pour sa part de retenir les
matières ne relevant pas du domaine communautaire, les données
sensibles (sous réserve des données de santé -les secteurs
public et privé étant désormais placés sous le
même régime, il ne saurait être question de soumettre
à autorisation les traitements de 100.000 médecins de ville- et
de l'exonération pour les membres des groupements politiques, syndicaux
et religieux), le recours aux identifiants de portée
générale, l'exclusion des personnes d'un contrat, d'une
prestation ou d'un droit, ainsi que les traitements concernant l'ensemble de la
population.
Il constatait qu'il était en effet en pratique impossible de
définir une technologie nouvelle.
De plus, le champ des autorisations devait, selon lui, être limité
aux interconnexions de traitements à finalités différentes
gérées par des organismes distincts, les interconnexions à
l'intérieur d'une même administration ou entreprise étant
multiples et souvent inoffensives.
Par ailleurs, il n'envisageait pas de soumettre à autorisation les
enquêtes statistiques obligatoires, dans la mesure où elles sont
fondées sur l'anonymat et soumises à la loi de 1951 relative au
secret statistique.
Enfin, il considérait qu'il n'était pas possible de soumettre
tous les flux transfrontières à autorisation du fait de leur
nombre et de leur différentiel de dangerosité.
Article 25 modifié de la loi du 6 janvier 1978
Régime
général
d'autorisation
Le
dispositif proposé par l'article 25 modifié
de la loi du
6 janvier 1978 distingue huit catégories de traitements soumis
à l'autorisation préalable de la CNIL en se fondant, d'une part,
sur la nature des données concernées et, d'autre part, sur la
finalité des traitements :
1- les traitements, automatisés ou non, concernant des
données dites sensibles
faisant apparaître, directement ou
indirectement, les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou
relatives à leur santé ou à leur orientation sexuelle,
lorsque l'intérêt public l'impose
(III de l'article 8)
(1°) ;
2- les traitements automatisés portant sur des
données
génétiques
, sauf ceux mis en oeuvre par des médecins
ou des biologistes et nécessaires aux fins de la médecine
préventive, des diagnostics médicaux ou de l'administration de
soins ou de traitements (2°) ;
3- les traitements, automatisés ou non, portant sur les
infractions, condamnations ou mesures de sûreté
, sauf ceux
mis en oeuvre par des auxiliaires de justice (c'est à dire les avocats,
avocats au Conseil d'Etat et à la Cour de cassation, avoués
près les cours d'appel, commissaires priseurs, experts judiciaires,
greffiers de commerce, huissiers de justice, notaires, syndics et
administrateurs judiciaires) (3°) ;
4- les traitements portant sur des données parmi lesquelles figure
le
numéro d'inscription des personnes au répertoire national
d'identification des personnes physiques
(NIR), ceux qui requièrent
une consultation de ce répertoire sans inclure le numéro
d'inscription à celui des personnes et ceux
portant sur la
totalité ou la quasi-totalité de la population de la
France
(6°).
Votre commission des Lois vous
propose de supprimer le critère de
contrôle préalable lié à la totalité ou la
quasi-totalité de la population
, l'appréciation des risques
envers la vie privée devant être qualitative et non quantitative,
et la notion de quasi-totalité de la population étant
juridiquement imprécise ;
5- les traitements de données portant des appréciations sur
les
difficultés sociales
des personnes (7°) ;
6- les traitements portant sur des
données
biométriques
nécessaires au contrôle de
l'identité des personnes (8°) ;
Ces deux dernières catégories ne figuraient pas dans
l'avant-projet de loi et ont été introduites à la suite
des observations formulées par la CNIL.
Votre commission des Lois vous propose d'
adopter un amendement de
coordination
à l'amendement proposé à
l'article 8 modifié de la loi de 1978
prévoyant que les traitement réalisés par l'INSEE doivent
être autorisés par la CNIL.
Par ailleurs, certains traitements sont également soumis à
l'autorisation préalable de la CNIL
en raison de leur
finalité
:
7- les traitements automatisés ayant pour finalité de
sélectionner les personnes susceptibles de bénéficier
d'un droit, d'une prestation ou d'un contrat
alors que les personnes en
cause ne sont exclues de ce bénéfice par aucune disposition
légale ou réglementaire (4°). Ce cas était
d'ailleurs expressément prévu par la directive.
Votre commission des Lois vous propose d'adopter un
amendement soumettant
à autorisation les seuls traitements automatisés susceptibles du
fait de leur nature, de leur portée ou de leurs finalités
d'exclure
des personnes du bénéfice d'un droit, d'une
prestation ou d'un contrat en l'absence de toute disposition législative
ou réglementaire.
La directive, tout en reconnaissant dans son considérant 52 que le
contrôle
a posteriori
par les autorités compétentes
doit en général être considéré comme une
mesure suffisante, indique dans un considérant 53 que les Etats membres
peuvent prévoir un contrôle préalable, s'agissant de
traitements susceptibles de présenter des «
risques
particuliers au regard des droits et libertés des personnes
concernées, du fait de leur nature, de leur portée ou de leurs
finalités telles que celle d'exclure des personnes du
bénéfice d'un droit, d'une prestation ou d'un
contrat
» .
Alors que la directive parle donc d'un système de liste noire, le projet
de loi soumet en fait à autorisation préalable l'ensemble des
fichiers de clients et/ou prospects qui intègrent des outils de ciblage,
et donc de sélection des personnes concernées.
La rédaction positive adoptée par le projet de loi inverse
donc le sens de la rédaction de la directive et transforme ainsi
l'exception en règle.
Une telle mesure paraissant disproportionnée, paralysante, et contraire
à l'esprit de la directive, cet amendement tend à la
renverser ;
8- les traitements automatisés ayant pour objet
l'interconnexion
de fichiers relevant d'une ou de plusieurs personnes
morales gérant un service public et dont les finalités
correspondent à des intérêts publics différents, et
l'interconnexion de fichiers relevant d'autres personnes et dont les
finalités
principales
sont différentes (5°).
Ne sont pas concernés
par cette procédure d'autorisation
par la CNIL les traitements mentionnés aux articles 26 et 27
modifiés, c'est-à-dire ceux susceptibles de mettre en cause la
souveraineté nationale
(intéressant la sûreté
de l'Etat, la défense ou la sécurité publique ou qui ont
pour objet la prévention, la poursuite ou la recherche des infractions
pénales ou l'exécution des condamnations pénales ou des
mesures de sûreté), comportant des
éléments
d'identification particuliers ou d'une exceptionnelle ampleur
(traitements
pour le compte de l'Etat, d'une personne morale de droit public ou d'une
personne morale de droit privé gérant un service public portant
sur des données parmi lesquelles figure le numéro d'inscription
des personnes au répertoire national d'identification des personnes
physiques ou qui portent sur la totalité ou la quasi-totalité de
la population de la France).
Votre commission des Lois vous propose d'adopter un
amendement de
coordination
précisant que les traitements mis en oeuvre dans une
finalité d'
archivage
ne sont pas non plus concernés.
Le
paragraphe III
de cet article prévoit enfin la
procédure d'autorisation
.
La directive laisse une large marge de manoeuvre aux Etats membres pour
déterminer selon quelle procédure et par quelle institution les
autorisations seront accordées.
Le rapport de M. Guy Braibant préconisait de confier à
la CNIL le pouvoir d'autorisation s'agissant de certains traitements. La loi de
bioéthique du 1
er
juillet 1994 a d'ailleurs
déjà confié à la CNIL le pouvoir d'autoriser
elle-même les «
traitements automatisés de
données nominatives ayant pour fin la recherche dans le domaine de la
santé
».
Il est donc prévu que
la CNIL se prononce dans un délai de
deux mois à compter de la réception de la demande
. Toutefois,
ce délai peut être renouvelé une fois sur décision
du président de la CNIL lorsque la complexité du dossier le
justifie.
Lorsque la commission ne s'est pas prononcée dans ces
délais, la demande d'autorisation est réputée
rejetée
.
Cette disposition a été introduite par l'Assemblée
nationale, avec l'avis favorable du Gouvernement, à l'initiative de
M. Gérard Gouzes, rapporteur, et tend à regrouper
toutes les règles relatives à l'autorisation au sein d'un
même article, et non plus à l'article 28 modifié de la loi
du 6 janvier 1978, qui concernera donc uniquement la procédure
d'avis.
Votre commission des Lois vous propose d'adopter un
amendement
précisant que cette décision de renouvellement doit être
motivée
. La prolongation du délai peut avoir d'autres motifs
que la complexité du dossier et l'obligation de motivation constitue un
progrès. L'appréciation de la complexité du dossier
pourrait être source de contentieux.
Il faut noter que votre commission a proposé à
l'article 16 modifié de la loi de 1978 d'autoriser la
commission à déléguer au bureau la possibilité de
délivrer des autorisations en cas d'urgence. En effet, il est probable
que la CNIL aura des difficultés pour respecter ces délais, alors
même que l'absence de réponse de la CNIL dans les deux mois
pourrait avoir des conséquences très graves.
Le projet de loi définit également des procédures
d'autorisation particulières pour les traitements de données les
plus susceptibles de porter atteinte aux droits fondamentaux des citoyens.
Article 26 modifié de la loi du 6 janvier 1978
Traitements mis en
oeuvre pour le compte de l'Etat -
Traitements portant sur des données
sensibles
Les
traitements de souveraineté sont exclus du champ de la directive.
L'article 26 modifié de la loi du 6 janvier 1978 maintient donc un
régime spécifique s'agissant des traitements de données
à caractère personnel mis en oeuvre au profit de l'Etat et
relevant de sa souveraineté -traitements concernant la
sûreté de l'Etat, la défense ou la sécurité
publique, ou ayant pour objet la prévention, la recherche ou la
répression des infractions pénales ou l'exécution des
condamnations pénales ou des mesures de sûreté-.
Le paragraphe I du projet de loi prévoit qu'ils
doivent être
autorisés par arrêté
du ou des ministres
compétents, pris
après avis motivé et publié de
la CNIL
.
Votre commission des Lois vous propose d'adopter un
amendement de
précision
afin d'inclure les traitements ayant pour objet la
constatation des infractions pénales.
Le paragraphe II prévoit par ailleurs que les
traitements portant sur
des données sensibles
(c'est à dire ceux mentionnés au
I de l'article 8 nouveau de la loi : données religieuses, raciales,
politiques, philosophiques, portant sur les appartenances syndicales,
l'orientation sexuelle...) doivent être autorisés par
décret en Conseil d'Etat pris après avis motivé de la
CNIL
, qui doit être
publié
avec le décret.
Actuellement
, ces traitements sont régis par les dispositions de
l'article 31 de la loi du 6 janvier 1978 qui prévoient un
avis
conforme
de la CNIL. La CNIL elle-même, dans son avis sur cette
disposition, avait estimé que «
la publication de l'avis
rendu par la CNIL paraît de nature à assurer le maintien d'un haut
niveau de garanties et, en tout état de cause, à préserver
la portée qui doit s'attacher aux interventions d'une autorité
administrative indépendante à l'égard de traitements
particulièrement sensibles
».
Parallèlement à la suppression de la procédure de l'avis
conforme de la CNIL, celle qui permettait au Gouvernement de passer outre
l'avis défavorable de la CNIL par un décret pris sur avis
conforme du Conseil d'Etat est également supprimée,
conformément aux préconisations du rapport de M. Guy
Braibant
28(
*
)
.
Il en soulignait en effet les difficultés de fonctionnement :
conflits répétés entre la CNIL et certaines
administrations, fonctionnement de certains fichiers importants sans
autorisation, défaut de recours et d'arbitrage juridictionnel, les avis
défavorables n'étant pas susceptibles de recours, même
lorsqu'ils ont des effets juridiques sur le pouvoir de décision.
Le rapport suggérait donc, pour les traitements de souveraineté,
exclus de la directive, un décret en Conseil d'Etat, pris sur l'avis
motivé de la CNIL. Un tel avis ne bloquerait plus la procédure,
mais sa publication devrait lui assurer une certaine autorité.
Ceci permettrait d'éviter de contraindre le Gouvernement à saisir
le Conseil d'Etat et à se conformer à son avis.
Il faisait observer que plusieurs lois spécifiques relatives à la
protection des données personnelles prévoyaient
déjà que le texte d'application serait pris après un avis
simple de la CNIL. La loi du 6 janvier 1978 elle-même
prévoit une telle procédure dans son article 18 s'agissant
de l'utilisation du répertoire national d'identification des personnes
physiques.
Le
paragraphe III
constitue la reprise des dispositions du dernier
alinéa de l'actuel article 20, qui prévoit qu'un
décret
en Conseil d'Etat peut dispenser de publication
l'acte réglementaire
autorisant les traitements relevant de la souveraineté de l'Etat.
Néanmoins, si cette dispense ne concerne actuellement que certains
traitements intéressant la sûreté de l'Etat, la
défense et la sécurité publique (correspondant aux
traitements mentionnés à l'article 26 I-1°
modifié), le projet de loi étend cette possibilité aux
traitements ayant pour objet la prévention, la recherche ou la poursuite
des infractions pénales, ou l'exécution des condamnations
pénales ou des mesures de sûreté (article 26 I-2°) ou
portant sur des données dites sensibles (article 8-I).
Il est cependant désormais prévu qu'est publié
concomitamment à la publication du décret autorisant la dispense
de publication de l'acte réglementaire «
le sens de l'avis
émis
» par la CNIL.
Cette mesure permet donc une plus grande transparence s'agissant des
traitements de souveraineté, mais n'en constitue pas moins une extension
de la dispense de publication pour des traitements potentiellement dangereux
(s'agissant notamment des traitements portant sur des données
sensibles).
Les modalités de la publication de l'avis de la CNIL ne sont pas
précisées, mais il devrait paraître au Journal officiel.
Le paragraphe IV du texte proposé pour l'article 26 modifié de
la loi du 6 janvier 1978 reprend la disposition selon laquelle les
traitements répondant à une même finalité, portant
sur des catégories de données identiques et ayant les mêmes
destinataires ou catégories de destinataires peuvent être
autorisés par un acte réglementaire unique, le responsable du
traitement adressant alors à la CNIL un engagement de conformité
de celui-ci à la description figurant dans l'autorisation.
Article 27 modifié de la loi du 6 janvier 1978
Traitements publics
-
Traitements requérant une consultation du RNIPP
Actuellement, l'article 18 de la loi du 6 janvier 1978
prévoit que l'utilisation du répertoire national d'identification
des personnes physiques en vue d'effectuer des traitements nominatifs est
autorisée par décret en Conseil d'Etat pris après avis de
la CNIL.
L'article 27 modifié de la loi reprend ces dispositions en les
complétant et en les précisant.
Le paragraphe I précise que sont
autorisés par décret
en Conseil d'Etat, pris après avis motivé et publié de la
CNIL
les traitements de données à caractère personnel
mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit
public ou d'une personne morale de droit privé gérant un service
public
:
- portant sur des données parmi lesquelles figure le numéro
d'inscription des personnes au
répertoire national d'identification
des personnes physiques
;
- ou portant sur la totalité ou la
quasi-totalité de la
population
en France.
En réponse à l'interrogation manifestée par
M. Gérard Gouzes, rapporteur, quant à la
définition de la totalité ou de la quasi-totalité de la
population de la France, la précédente garde des Sceaux avait
indiqué lors de la discussion à l'Assemblée nationale que
l'article 13 du projet de loi prévoyait une habilitation
générale du pouvoir réglementaire.
Actuellement, l'article 4 du projet de loi soumet à deux
procédures de contrôle préalable différentes les
responsables d'un traitement portant sur la totalité ou la
quasi-totalité de la population suivant que celui-ci relève d'une
finalité privée ou publique.
Ainsi, les traitements à finalité purement privée
relèvent d'une décision directe de la CNIL (prévue par le
6° du I de l'article 25 modifié), alors que ceux à
finalité publique sont soumis à la publication d'un
arrêté, pris après avis motivé et publié de
la CNIL (2° du I de l'article 27).
Par coordination avec l'amendement de suppression de ce critère
quantitatif à l'article 25 modifié, votre commission des
Lois vous
propose de supprimer ces dispositions
.
Par ailleurs, le paragraphe II prévoit que sont
autorisés par
simple arrêté pris après avis motivé et
publié de la CNIL
:
- les traitements requérant une
consultation du
répertoire national
d'identification des personnes physiques sans
inclure le numéro d'inscription à ce répertoire ;
Votre commission des Lois vous propose d'adopter un
amendement de
précision
afin de bien différencier ce régime de celui
prescrit pour les traitements privés par l'article 25-6°.
- les traitements mis en oeuvre pour le compte de l'Etat, d'une personne
morale de droit public ou d'une personne morale de droit privé
gérant un service public (
traitements publics
) portant sur des
données parmi lesquelles figure le numéro d'inscription des
personnes au répertoire national d'identification des personnes
physiques ou portant sur la totalité ou la quasi-totalité de la
population en France (votre commission des Lois proposant la suppression de ces
derniers traitements), mais :
ne comportant pas de données dites sensibles
(article 8, I)
ou relatives aux infractions, condamnations ou mesures de
sûreté
(article 9) ;
n'ayant pas pour objet une interconnexion
entre fichiers dont les
finalités correspondent à des
intérêts publics
différents.
Votre commission des Lois vous propose d'adopter un
amendement
précisant que sont appréhendés les traitements donnant
lieu à une interconnexion et non ceux qui ont pour objet une
interconnexion ;
et tendant à la
mise à jour ou le contrôle de
l'exactitude
de données permettant de déterminer les droits
des administrés, ou d'établir l'assiette, de contrôler ou
de recouvrer des impositions, ou d'établir des statistiques.
Cette dernière hypothèse recouvre par exemple le cas des caisses
d'allocations familiales qui ont recours au NIR des allocataires
éventuels afin de déterminer leurs prestations grâce
notamment à l'évolution de leurs revenus ainsi qu'au nombre de
personnes à charge.
Votre commission des Lois vous propose d'adopter un
amendement
tendant
à supprimer la mention de la mise à jour ou du contrôle de
l'exactitude des données, celle-ci apparaissant source
d'ambiguïté.
Enfin, votre commission des Lois vous propose d'adopter un
amendement
tendant à prévoir que les
traitements relatifs au recensement
de la population
devront être autorisés par
arrêté ministériel pris après avis motivé et
publié de la CNIL.
Le paragraphe III du texte proposé pour l'article 27 prévoit une
nouvelle fois que les traitements répondant à une même
finalité, portant sur des catégories de données identiques
et ayant les mêmes destinataires ou catégories de destinataires
peuvent être autorisés par un acte réglementaire unique, le
responsable du traitement adressant alors à la CNIL un engagement de
conformité de celui-ci à la description figurant dans
l'autorisation.
Article 28 modifié de la loi du 6 janvier 1978
Procédures et
délais
Cet
article précise que la CNIL rend ses avis dans les deux mois à
compter de la réception de la demande.
Ceci concerne les traitements de données qui lui sont soumis en vertu
des articles 26 et 27 modifiés de la loi, c'est-à-dire lorsqu'une
autorisation est nécessaire, ce délai pouvant être
renouvelé une fois sur décision du président lorsque la
complexité du dossier l'exige.
L'Assemblée nationale a adopté un amendement de coordination avec
l'amendement de clarification adopté à l'article 25
modifié de la loi du 6 janvier 1978 présenté par
M. Gérard Gouzes, rapporteur, avec l'avis favorable du
Gouvernement.
La demande d'avis d'un traitement présenté à la CNIL qui
n'a pas fait l'objet d'une décision expresse à l'expiration du
délai prévu est réputée favorable. Ceci constitue
une solution logique puisqu'il s'agit d'une simple consultation et non plus
d'une autorisation.
Par cohérence avec l'amendement proposé à l'article 25
modifié, votre commission des Lois vous propose d'adopter un
amendement
précisant que la décision de renouvellement du
délai pour prendre la décision doit être motivée.
Article 29 modifié de la loi du 6 janvier 1978
Mentions obligatoires
dans les autorisations
L'article 29 nouveau précise les
informations devant
figurer
dans les actes autorisant les traitements mentionnés aux
articles 25, 26 et 27 modifiés.
Il reprend en les complétant les dispositions figurant au premier
alinéa de l'actuel article 20 de la loi du 6 janvier 1978, qui
prévoit que l'acte réglementaire doit préciser
« notamment » la dénomination et la finalité
du traitement, le service auprès duquel s'exerce le droit d'accès
et les catégories d'informations nominatives enregistrées, ainsi
que les destinataires ou les catégories de destinataires
habilités à recevoir communication de ces informations.
Le texte proposé pour l'article 29 modifié le complète en
prévoyant que doivent être précisées le cas
échéant les
dérogations à l'obligation
d'information
incombant aux responsables de traitements ouvertes par le III
de l'article 32 modifié.
Ainsi, des dérogations sont possibles à ces obligations
d'information de la personne prévues lorsque des données à
caractère personnel la concernant n'ont pas été
recueillies auprès d'elle, lorsque ces données sont
utilisées lors d'un traitement mis en oeuvre pour le compte de l'Etat et
intéressant la sûreté de l'Etat, la défense, la
sécurité publique ou ayant pour objet l'exécution de
condamnations pénales ou de mesures de sûreté,
dans la
mesure où une telle limitation est nécessaire au respect des
finalités poursuivies par le traitement
.
SECTION 3
Dispositions communes à la déclaration
et
à l'autorisation
préalables
La section 3 de ce chapitre IV regroupe les dispositions communes concernant les régimes de déclaration et d'autorisation.
Article 30 modifié de la loi du 6 janvier 1978
Informations
requises
L'article 30 modifié reprend pour l'essentiel les
dispositions de l'actuel article 19 de la loi du 6 janvier 1978 et
précise les informations que doivent contenir les déclarations,
demandes d'autorisation et demandes d'avis adressées à la
CNIL :
- l'identité et
l'adresse
(précision nouvelle) du
responsable du traitement ou, si celui-ci n'est pas établi sur le
territoire de l'Union européenne (actuellement il est fait mention de
l'étranger sans discerner entre les Etats membres et les Etats tiers),
de son représentant ;
- la finalité du traitement et, le cas échéant, sa
dénomination, ainsi que,
pour les traitements nécessitant une
autorisation
(précision nouvelle), ses caractéristiques.
Votre commission des Lois vous propose d'adopter un
amendement
rédactionnel, la notion de
«
caractéristiques
» étant assez
imprécise ;
- le cas échéant, les interconnexions avec les autres
traitements ;
- les données à caractère personnel traitées,
leur origine et les catégories de personnes concernées par le
traitement ;
- la durée de conservation des informations traitées ;
- le ou le services chargés de mettre en oeuvre le traitement ainsi
que,
pour les traitements soumis à autorisation
(précision
nouvelle), les catégories de personnes qui, en raison de leurs fonctions
ou pour les besoins du service, ont directement accès aux données
enregistrées ;
- les destinataires ou catégories de destinataires habilités
à recevoir communication des données ;
- l'identité et l'adresse de la personne ou du service auprès
duquel s'exerce le droit d'accès,
ainsi que les mesures relatives
à l'exercice de ce droit
(précision nouvelle). Votre
commission des Lois vous propose d'adopter un
amendement
rédactionnel ;
- les dispositions prises pour assurer la sécurité des
traitements et des données et la garantie des secrets
protégés par la loi ;
Votre commission des Lois vous propose d'adopter un
amendement
complétant la liste des informations par, le cas échéant,
l'indication du recours à un sous-traitant ;
- le cas échéant, les transferts de données à
caractère personnel
envisagés
à destination d'un
Etat tiers (et non plus l'étranger)
.
Votre commission des Lois vous propose d'adopter un
amendement
tendant
à
prendre en compte la non application de ces dispositions aux
traitements en transit vers des Etats tiers prévue par l'article
1
er
du projet de loi.
Le paragraphe II de l'article 30 modifié reprend le deuxième
alinéa de l'article 19 actuel de la loi et prévoit donc que le
responsable d'un traitement déjà déclaré ou
autorisé informe sans délai la CNIL de tout changement affectant
ces informations et de toute suppression de traitement, afin de permettre une
mise à jour.
Article 31 modifié de la loi du 6 janvier 1978
Mise à la
disposition du public de listes de
traitements
Cet
article précise les documents que la CNIL tient à la disposition
du public.
Le paragraphe I prévoit que la CNIL met à la disposition du
public la liste des traitements automatisés ayant fait l'objet d'une des
formalités prévues par les articles 23 à 27
modifiés (déclaration, demande d'avis ou d'autorisation),
à l'exception des traitements dits de souveraineté et ceux
portant sur des données sensibles (mentionnés au III de l'article
26 modifié).
Ceci doit permettre à tout citoyen de prendre connaissance des
traitements de données à caractère personnel existants.
L'actuel article 22 de la loi prévoit déjà certaines
informations. Le projet de loi complète cette obligation en
prévoyant que cette liste doit préciser pour chacun des
traitements : l'acte décidant de la création du traitement
ou la date de la déclaration de ce traitement, la dénomination et
la finalité du traitement,
l'identité et l'adresse du
responsable du traitement ou, si celui-ci n'est pas établi sur le
territoire de l'Union européenne, celles de son représentant
(précision nouvelle), la personne ou le service auprès duquel
s'exerce le droit d'accès, les données à caractère
personnel faisant l'objet du traitement ainsi que les destinataires et
catégories de destinataires habilités à en recevoir
communication,
le cas échéant les transferts de données
à caractère personnel envisagés à destination d'un
Etat tiers
(précision nouvelle).
Le paragraphe II reprend les dispositions du dernier alinéa de l'actuel
article 22 de la loi prévoyant que la CNIL tient à la disposition
du public ceux de ses avis, décisions ou recommandations dont la
connaissance est utile à l'application ou à
l'interprétation de la loi. La mention d'un décret fixant les
conditions de cette mise à disposition n'est plus reprise, la CNIL le
faisant elle-même, puisqu'elle constitue une autorité
administrative indépendante.
Votre commission des Lois vous propose d'adopter un
amendement
érigeant en principe la communication au public des avis,
décisions et recommandations de la CNIL, dont une bonne partie est
déjà disponible sur son site internet.
L'article 14 du projet de loi, modifiant l'article 226-22-1 du code
pénal, sanctionne les transferts vers des pays n'offrant pas un niveau
de protection suffisant de cinq ans d'emprisonnement et de 300.000 euros
d'amende.
Il est donc indispensable de prévoir un mode d'information officielle
des responsables de traitement, grâce à la CNIL en liaison avec la
Commission européenne.
Votre commission des Lois vous propose donc d'adopter un
amendement
prévoyant que la CNIL publie la liste des Etats dont la Commission des
communautés européennes a établi qu'ils assurent un niveau
de protection suffisant
à l'égard d'un transfert ou d'une
catégorie de transferts de données à caractère
personnel.
En effet, si les transferts vers des pays n'assurant pas un niveau de
protection suffisant sont interdits, le projet de loi ne prévoit pas de
mettre à la disposition des responsables de traitement la liste de ces
pays. Or cette information est connue puisque que la directive prévoit
dans ses articles 25 et suivants un mécanisme d'information mutuelle des
Etats membres en la matière.
Cette absence d'information entraîne une insécurité
juridique d'autant plus forte qu'il peut exister des situations
intermédiaires. Ainsi, certains pays peuvent disposer de
législations de protections sectorielles et dans ce cas seuls les
transferts vers ces secteurs sont autorisés.
En outre, votre commission des Lois vous propose d'adopter un
amendement
de précision.
*
* *
Votre commission des Lois vous propose donc d' adopter vingt-deux amendements, dont six rédactionnels, puis d'adopter l'article 4 ainsi modifié .
Article 5
(Chapitre V de la loi n° 78-17 du 6 janvier
1978)
Obligations des responsables des traitements
et droits des
personnes concernées
Le
Chapitre V actuel de la loi du 6 janvier 1978 traite de l'exercice du droit
d'accès des personnes à l'égard des traitements comportant
des informations à caractère nominatif les concernant.
L'article 5 du projet de loi regroupe ces dispositions -dans une section 2,
articles 38 et 42 modifiés de la loi de 1978- avec les dispositions
relatives aux obligations des responsables de traitements -dans une
première section, articles 32 à 37 modifiés de la loi de
1978-.
SECTION 1
Obligations incombant aux responsables des traitements
Article 32 modifié de la loi du 6 janvier 1978
Obligation
d'information
L'article 32 modifié transpose les dispositions des
articles
10 et 11 de la directive 95/46 CE et modifie l'actuel article 27 de la loi du 6
janvier 1978 relatif au droit d'information des personnes.
Actuellement, l'article 27 prévoit que les personnes auprès
desquelles sont recueillies des informations nominatives doivent être
informées : du caractère obligatoire ou facultatif des
réponses ; des conséquences à leur égard d'un
défaut de réponse ; des personnes physiques ou morales
destinataires des informations, ainsi que de l'existence d'un droit
d'accès et de rectification.
Son deuxième alinéa prévoit en outre que lorsque de telles
informations sont recueillies par questionnaires, ceux-ci doivent porter
mention de ces prescriptions.
Le dernier alinéa de l'article 27 actuel indique enfin que ces
dispositions ne s'appliquent pas à la collecte des informations
nécessaires à la constatation des infractions.
1- Informations requises lorsque les données sont recueillies
directement auprès de la personne
a-
L'article 10
de la
directive
précise que les Etats
membres prévoient que le responsable du traitement ou son
représentant doit fournir à la personne concernée au
moins :
- l'identité du responsable et le cas échéant de son
représentant ;
- les finalités du traitement auquel les données sont
destinées ;
- toute information supplémentaire telle que les destinataires ou
les catégories de destinataires des données, le caractère
obligatoire ou facultatif de la réponse, ainsi que les
conséquences éventuelles d'un défaut de réponse,
l'existence d'un droit d'accès aux données la concernant et de
rectification de ces données, dans la mesure où compte tenu des
circonstances particulières de collecte, ces informations sont
nécessaires à un traitement loyal des données.
Néanmoins, la directive prévoit une exception si la personne a
déjà été informée.
b- Le
paragraphe I
de l'article 32 modifié reprend donc les
dispositions de l'actuel article 27 en les complétant : la personne
auprès de laquelle sont recueillies les données doit être
informée :
- de l'identité du responsable du traitement et, le cas
échéant de celle de son représentant; de la
finalité de ce dernier (cette précision nouvelle
résultant de la transposition de la directive) ;
- du caractère obligatoire ou facultatif des réponses ;
des conséquences éventuelles à son égard d'un
défaut de réponse ;
- de l'identité du destinataire du traitement ;
L'Assemblée nationale a adopté, avec l'avis favorable du
Gouvernement, un amendement présenté par
M. Gérard Gouzes, rapporteur, tendant à parler de
destinataires ou de catégories de destinataires, afin de
préserver les droits des personnes et d'harmoniser les
différentes rédactions dans le projet de loi ;
- de l'ensemble de ses droits définis par la section 2 du
présent chapitre, qu'il s'agisse du droit d'accès, d'opposition
ou de rectification.
Votre commission des Lois vous
propose de compléter
cette liste
d'informations en prévoyant la mention, le cas échéant,
des transferts de données à caractère personnel
envisagés vers des Etats tiers.
Il s'agit encore d'assurer une meilleure information des personnes
concernées en élargissant les obligations incombant aux
responsables de traitements.
2- La question des « témoins de connexion »
ou «
cookies
»
L'Assemblée nationale a en outre adopté un amendement
présenté par M. Gérard Gouzes, rapporteur, M.
Jean Codognès, du groupe socialiste et M. Alain Vidalies, du groupe
socialiste, concernant les «
cookies
»
ou « témoins de connexion ».
Le développement des réseaux numériques s'appuie en effet
sur des technologies conçues pour faciliter la navigation des
utilisateurs, comme ces lecteurs identifiants qui permettent par exemple de ne
pas répéter des mots de passe, en stockant des informations ou en
accédant à des informations stockées dans
l'équipement terminal d'un abonné ou d'un utilisateur, mais
peuvent donc constituer un danger pour la protection de la vie privée.
Cet amendement subordonne leur utilisation à une
information claire,
complète et préalable
des personnes, sur les finalités
du traitement et sur les moyens dont elles disposent pour s'y opposer. Il
appartient donc à
l'internaute de décider lui-même
de l'installation ou non des
cookies
.
Néanmoins, il est précisé que ces dispositions ne font pas
obstacle au stockage ou à l'accès techniques visant exclusivement
à effectuer ou à faciliter la transmission d'une communication,
ou strictement nécessaires à la fourniture d'un service
expressément demandé par l'utilisateur.
Afin d'assurer l'effectivité de ce choix, il est
interdit de
subordonner l'accès à un service
disponible sur un
réseau de communications électroniques
à l'acceptation,
par
l'abonné ou
l'utilisateur
concerné,
du
traitement
des informations stockées dans son équipement
terminal.
Cet amendement a également prévu un dispositif pénal
concomitant. Ainsi, le non respect de cette obligation d'information ou la
subordination de l'accès à l'acceptation du traitement des
informations stockées dans le terminal est puni de cinq ans
d'emprisonnement et de 300.000 euros d'amende.
Lors de la discussion à l'Assemblée nationale, cette question
faisait l'objet d'une négociation au niveau communautaire, le
débat opposant les partisans du consentement exprès à ceux
du droit d'opposition. Pour les premiers, l'internaute doit expressément
consentir au téléchargement de ces petits logiciels sur son
ordinateur. Pour les seconds, la possibilité qui lui est donnée,
sur la base d'une information claire, de prendre l'initiative de s'opposer
à ce téléchargement constitue une garantie suffisante.
La France s'est ralliée à la position commune en faveur du droit
d'opposition, qui permet de concilier les droits des utilisateurs et la
fluidité des réseaux numériques, ce principe de
non-opposition moyennant une information éclairée constituant la
base depuis 25 ans de la législation française sur les
traitements automatisés de données personnelles.
Rappelant que la position commune communautaire n'envisageait pas d'interdire
de subordonner l'accès à un site à l'acceptation par
l'utilisateur d'un témoin de connexion, le Gouvernement s'était
interrogé sur l'opportunité de limiter autant la liberté
contractuelle et avait donné un avis de
sagesse
.
La
directive 2002/58/CE concernant le traitement des données à
caractère personnel et la protection de la vie privée dans le
secteur des télécommunications électroniques
est
finalement intervenue le
12 juillet 2002
.
Son
considérant 25
précise que
les témoins de
connexion peuvent constituer un outil légitime et utile
, par exemple
pour évaluer l'efficacité de la conception d'un site et de la
publicité faite pour ce site, faciliter la fourniture de services de la
société de l'information, ainsi que pour contrôler
l'identité des utilisateurs effectuant des transactions en ligne.
Dans de tels cas, leur utilisation devrait être autorisée
à condition que
les utilisateurs se voient donner des
informations claires et précises
sur la finalité des
témoins de connexion ou des dispositifs analogues de manière
à être au courant des informations placées sur leur
équipement terminal.
Les utilisateurs
devraient ainsi avoir la possibilité de refuser
qu'un témoin de connexion ou un dispositif similaire soit placé
sur leur équipement terminal, ce point étant
particulièrement important lorsque des utilisateurs autres que
l'utilisateur original ont accès à l'équipement terminal
et donc aux données sensibles à caractère privé
stockées.
Le
point 3 de l'article 5 de la directive
relatif à la
confidentialité des communications précise ainsi que les Etats
membres garantissent que l'utilisation des réseaux de communications
électroniques en vue de stocker des informations ou d'accéder
à des informations stockées dans l'équipement terminal
d'un abonné ou d'un utilisateur n'est permise qu'à la
condition
que l'abonné ou l'utilisateur soit muni, dans le
respect de la directive 95/46/CE, d'une
information claire et
complète
, entre autres sur les finalités du traitement, et
que l'abonné ou l'utilisateur ait le
droit de refuser un tel
traitement
par le responsable du stockage des données.
Cette disposition ne fait pas obstacle à un stockage ou à un
accès techniques visant exclusivement à effectuer ou à
faciliter la transmission d'une communication par la voie d'un réseau de
communications électroniques, ou strictement nécessaires à
la fourniture d'un service de la société de l'information
expressément demandé par l'abonné ou l'utilisateur.
Le considérant 25 précise encore que l'information relative
à l'utilisation de ces dispositifs ainsi que le droit de les refuser
peut être offerte en une seule fois et couvrir aussi l'utilisation future
qui pourrait en être faite lors de connexions ultérieures.
Il indique également que les méthodes retenues pour communiquer
des informations, offrir un droit de refus ou solliciter le consentement
devraient être les plus conviviales possibles.
Néanmoins, le considérant 25 prévoit que
l'accès
au contenu d'un site spécifique peut être subordonné au
fait d'accepter, en pleine connaissance de cause, l'installation d'un
témoin de connexion ou d'un dispositif analogue, si celui-ci est
utilisé à des fins légitimes
. Ceci constitue donc une
différence importante par rapport au texte voté par
l'Assemblée nationale.
Votre commission des Lois vous propose donc d'adopter un
amendement mettant
en conformité le projet de loi avec la directive
sur ce point.
Il tend ainsi à
supprimer :
-
la
disposition interdisant de subordonner l'accès à
un service de la société de l'information à l'acceptation
par l'internaute du traitement des informations enregistrées au moyen
des témoins de connexion
dans son équipement terminal ;
- le
caractère préalable de l'information
, cette
obligation n'étant plus prévue par la directive ;
- la contravention de cinquième classe introduite par
l'Assemblée nationale, l'article 1er du décret n° 81-1142 du
23 décembre 1981 sanctionnant déjà les défauts
d'information par le responsable d'un traitement automatisé et pouvant
s'appliquer au manquement spécifique à l'obligation d'information
sur les cookies.
Il procède en outre à diverses modifications
rédactionnelles.
3- Informations requises lorsque les données n'ont pas
été recueillies auprès de la personne concernée
Le paragraphe II de l'article 32 modifié prévoit en outre que
lorsque les données n'ont pas été recueillies
auprès de la personne concernée, le responsable du traitement ou
son représentant doit lui fournir les mêmes informations en cas de
collecte directe dès l'enregistrement des données ou, si une
communication des données à des tiers est envisagée, au
plus tard lors de la première communication des données. Il
s'agit d'une transposition fidèle de l'article 11 de la directive.
Actuellement, la loi du 6 janvier 1978 ne prévoit pas le cas de
collectes indirectes.
Les obligations du I sont donc étendues aux cas de collecte indirecte,
qui sont de plus en plus nombreux. En effet, de nombreuses entreprises
achètent, cèdent ou revendent des fichiers de données
à caractère personnel, qui sont ainsi collectées de
façon indirecte sans que les personnes concernées en soit
informées. Ceci constitue donc une innovation protectrice.
Toutefois, quatre exceptions à cette nouvelle obligation sont
prévues par les paragraphes II à IV :
- lorsque le traitement est nécessaire à la conservation de
données à des fins historiques, statistiques ou scientifiques,
dans les conditions prévues par la loi n° 79-18 du 3 janvier 1979
sur les archives lorsque ces données ont été initialement
recueillies pour un autre objet (II) ;
- lorsque l'information de la personne concernée se
révèle impossible ou exige des efforts disproportionnés
par rapport à l'intérêt de la
démarche (II) ;
Ces deux premières exclusions sont prévues par le point 2 de
l'article 11 de la directive.
- lorsque les données recueillies indirectement sont
utilisées au profit d'un traitement dit « de
souveraineté » mis en oeuvre pour l'Etat (intéressant
la sûreté de l'Etat, la défense ou la
sécurité publique ou ayant pour objet l'exécution de
condamnations pénales ou de mesures de sûreté), dans la
mesure où une telle limitation est nécessaire au respect des fins
poursuivies par le traitement ; Actuellement, le deuxième
alinéa de l'article 19 prévoit déjà que les
demandes d'avis relatives aux traitements automatisés d'informations
nominatives intéressant la sûreté de l'Etat, la
défense et la sécurité publique peuvent ne pas comporter
certaines de ces informations ; cette possibilité est d'ailleurs
prévue par l'article 13 de la directive ;
- enfin, le paragraphe IV de l'article 32 modifié prévoit
une dérogation s'agissant des traitements de données ayant pour
objet, la prévention, la recherche ou la poursuite d'infractions
pénales. Cette possibilité d'exclusion est prévue par le
point d) de l'article 13 de la directive.
Votre commission des Lois vous propose d'adopter un
amendement de
précision.
Par ailleurs, votre commission des Lois vous propose d'adopter un
amendement
transposant l'exception
prévue tant par le considérant 40 que
par l'article 11 de la directive
à l'obligation d'information de la
personne en cas de collecte indirecte de données la concernant si la
personne concernée est déjà informée
.
En outre, votre commission des Lois vous
propose d'alléger les
formalités requises pour les traitements d'anonymisation
des
données préalablement homologués par la CNIL, en
restreignant le champ des informations à fournir
aux personnes
concernées, afin de promouvoir le développement de
l'anonymisation.
L'article 32 modifié de la loi prévoit en effet la
délivrance de six catégories d'informations aux personnes
concernées par le traitement de leurs données.
Néanmoins, la directive du 24 octobre 1995 permet un régime
d'autorisation allégé au bénéfice des traitements
collectant des données en vue de l'anonymisation à brève
échéance de celles-ci. Son article 13-1-g autorise en effet les
Etats membres à adopter des dispositions législatives limitant
l'obligation d'information préalable prévue aux articles 10 et 11
lorsque cette limitation constitue une mesure nécessaire pour assurer
«
la protection de la personne concernée ou les droits et
libertés des autres
». Or l'anonymisation
représente une garantie pour la vie privée des personnes.
Cet amendement propose donc de n'exiger la communication que de
l'identité du responsable du traitement et de la nature de sa
finalité, certaines des garanties prévues par l'article 32
modifié ne pouvant en effet matériellement pas être
apportées par le responsable du traitement une fois les données
anonymisées (droit d'accès et de rectification notamment).
En outre, vous commission des Lois vous propose d'adopter un
amendement
rédactionnel
.
Article 33 modifié de la loi du 6 janvier 1978
Certification
électronique des signatures
électroniques
L'article 33 est modifié pour introduire un
régime
spécifique de collecte de données à caractère
personnel pour les prestataires de services de certification
électronique des signatures électroniques.
Il assure la transposition du paragraphe 2 de l'article 8 de la
directive 99/93 du 13 décembre 1999
29(
*
)
concernant les règles
applicables à la collecte de données. Ce dispositif
dérogatoire au régime de droit commun découlant de la
directive 95/46 CE impose aux prestataires de services de certification de ne
recueillir les données à caractère personnel
nécessaires à la délivrance des certificats que
directement auprès de la personne concernée ou avec son
consentement exprès. Il prévoit en outre que les données
ne peuvent être traitées que pour les fins en vue desquelles elles
ont été recueillies.
Article 34 modifié de la loi du 6 janvier 1978
Obligation de
sécurité
L'article 29 actuel de la loi du 6 janvier 1978 prévoit
que
«
toute personne ordonnant ou effectuant un traitement
d'informations nominatives s'engage de ce fait, vis à vis des personnes
concernées, à prendre
toutes précautions utiles
afin de préserver la sécurité des informations
et notamment d'empêcher qu'elles ne soient déformées,
endommagées ou communiquées à des tiers non
autorisés
».
Le paragraphe 1 de l'article 17 de la directive 95/46 CE relatif à la
sécurité des traitements précise que les Etats membres
prévoient que le responsable du traitement doit
mettre en oeuvre les
mesures techniques et d'organisation appropriées pour
protéger
les données à caractère personnel
contre la destruction accidentelle ou illicite, la perte accidentelle,
l'altération, la diffusion ou l'accès non autorisés,
notamment lorsque le traitement comporte des transmissions de données
dans un réseau, ainsi que contre toute autre forme de traitement
illicite. Ces mesures doivent assurer,
compte tenu de l'état de l'art
et des coûts
liés à leur mise en oeuvre, un
niveau
de sécurité approprié
au regard des risques
présentés par le traitement et de la nature des données
à protéger.
Les dispositions de l'actuel article 29 sont reprises par l'article 34
modifié de la loi du 6 janvier 1978, qui ajoute que des décrets,
pris après avis de la CNIL, peuvent fixer les prescriptions techniques
auxquelles doivent se conformer les traitements nécessaires à la
sauvegarde de la vie humaine pour lesquels la personne concernée ne peut
donner son consentement par suite d'une incapacité juridique ou d'une
impossibilité matérielle (1° du II de l'article 8
modifié) et les traitements nécessaires aux fins de la
médecine préventive, des diagnostics médicaux, de
l'administration de soins ou de traitements, ou de la gestion de services de
santé et mis en oeuvre par un membre d'une profession de santé ou
par une autre personne astreinte au secret professionnel (5° du II de
l'article 8 modifié).
Votre commission des Lois vous propose d'adopter un
amendement tendant
à élargir la protection à garantir aux personnes
concernées
. En effet, des
tiers non autorisés peuvent
avoir accès à des données sans qu'elles leur soient
communiquées
alors que le projet de loi ne prévoit que
l'hypothèse d'une communication à des tiers. Le responsable des
données doit véritablement oeuvrer en faveur de mesures de
sécurité effectives, sans pouvoir dégager sa
responsabilité en cas de négligence, et veiller à ce que
des tiers non autorisés n'y aient pas accès.
Article 35 modifié de la loi du 6 janvier
1978
Sous-traitance
L'article 35 modifié reprend les dispositions des
paragraphes
2 et 3 de l'article 17 de la directive relatifs à la sous-traitance.
Le paragraphe 2 de l'article 17 de la directive indique ainsi que les Etats
membres prévoient que le responsable du traitement, lorsque celui-ci est
effectué pour son compte, doit choisir un sous-traitant apportant des
garanties suffisantes au regard des mesures de sécurité technique
et d'organisation relatives aux traitements à effectuer, et qu'il doit
veiller au respect de ces mesures.
Le paragraphe 3 précise que la réalisation de traitements en
sous-traitance doit être régie par un contrat ou un acte juridique
liant le sous-traitant au responsable du traitement et prévoyant
notamment que le sous-traitant n'agit que sur la seule instruction du
responsable du traitement et que les obligations de sécurité des
traitements, telles que définies par la législation de l'Etat
membre dans lequel le sous-traitant est établi, lui incombent
également.
Le paragraphe 4 prévoit enfin qu'aux fins de la conservation des
preuves, les éléments du contrat ou de l'acte juridique relatifs
à la protection des données et les exigences de
sécurité sont consignés par écrit ou sous une autre
forme équivalente.
L'article 35 modifié de la loi du 6 janvier 1978 prévoit ainsi
que les données à caractère personnel ne peuvent faire
l'objet d'une opération de traitement de la part d'un sous-traitant,
d'une personne agissant sous l'autorité du responsable du traitement ou
celle du sous-traitant, que sur instruction du responsable du traitement (point
3 de l'article 17 de la directive).
L'Assemblée nationale a adopté un amendement purement
rédactionnel présenté par
M. Gérard Gouzes, rapporteur, définissant le
sous-traitant comme «
toute personne traitant des données
à caractère personnel pour le compte du responsable du
traitement
». Il s'agissait de renforcer les garanties en
matière de sous-traitance afin, notamment, de tenir compte de
l'externalisation des tâches de saisie chez un sous-traitant pouvant
être localisé dans un pays étranger, comme l'Inde par
exemple.
Le troisième alinéa prévoit ainsi que le sous-traitant
doit présenter des garanties suffisantes pour assurer la mise en oeuvre
des mesures de sécurité et de confidentialité
prévues à l'article 34 modifié de la loi.
Le projet de loi innove en prévoyant expressément que
les
garanties offertes par le sous-traitant ne déchargent pas le responsable
du traitement de son obligation de veiller au respect de ces mesures
. Tout
manquement de sa part le rend passible des sanctions prévues par
l'article 226-17 nouveau du code pénal, modifié par
l'article 14 du projet de loi.
De plus, le dernier alinéa précise que le contrat liant le
sous-traitant au responsable du traitement comporte l'indication des
obligations incombant au sous-traitant en matière de protection de la
sécurité et de la confidentialité des données et
prévoit que le sous-traitant ne peut agir que sur instruction du
responsable du traitement.
Article 36 modifié de la loi du 6 janvier 1978
Durée de
conservation
Actuellement, c'est l'article 28 de la loi du 6 janvier 1978
qui
précise la durée pendant laquelle les informations nominatives
peuvent être conservées.
L'article 6-1 e) de la directive indique que les Etats membres prévoient
que les données à caractère personnel ne peuvent
être conservées sous une forme permettant l'identification des
personnes concernées que pendant une durée n'excédant pas
celle nécessaire à la réalisation des finalités
pour lesquelles elles sont collectées ou pour lesquelles elles sont
traitées ultérieurement.
Les Etats membres prévoient des garanties appropriées pour les
données à caractère personnel qui sont conservées
au-delà de la période précitée, à des fins
historiques, statistiques ou scientifiques.
L'article 36 modifié de la loi du 6 janvier 1978 prévoit donc que
les données à caractère personnel ne peuvent être
conservées au-delà de la
durée nécessaire aux
finalités pour lesquelles elles sont collectées et
traitées
que pour être traitées à des fins
historiques, statistiques ou scientifiques.
Le choix des informations conservées est opéré dans les
conditions prévues à l'article 4-1 de la loi n° 79-18 du 3
janvier 1979 sur les archives, qui précise que les informations
nominatives contenues dans les traitements automatisés sont
triées à l'expiration de la durée nécessaire au
traitement, les informations présentant un intérêt
scientifique, statistique ou historique étant conservées et les
autres détruites. Les catégories d'informations destinées
à la destruction ainsi que les conditions de leur destruction sont
fixées par accord entre l'autorité qui les a produites ou
reçues et l'administration des archives.
Votre commission des Lois vous propose d'adopter un
amendement
tendant
à
dispenser les traitements
dont la finalité se limite
à assurer la
conservation à long terme de documents
d'archives
dans le cadre de la loi n° 79-18 du
3 janvier 1979 sur les archives
de formalités
préalables
, ces traitements n'entraînant aucune diffusion
à l'extérieur du service des archives et donc aucun risque pour
les personnes physiques.
Par ailleurs, votre commission des Lois vous propose d'adopter un
amendement
rédactionnel
(parlant de « données » et
non d'informations).
Le deuxième alinéa de l'article 36 modifié de la loi
du 6 janvier 1978 prévoit toutefois qu'il peut être
procédé à un traitement à d'autres finalités
que celles pour lesquelles les données à caractère
personnel ont été collectées et traitées, sans
même que cela soit fait à des fins historiques, statistiques ou
scientifiques à condition :
- soit que la personne concernée ait donné son accord
exprès ;
- soit que la CNIL l'ait autorisé ;
- soit qu'il s'agisse de données dites sensibles (relatives aux origines
raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses
ou à l'appartenance syndicale des personnes ou à leur
santé ou leur orientation sexuelle) quand l'intérêt public
l'impose (pour les traitements soumis à autorisation de la CNIL -article
25 I- ou autorisés par décret en Conseil d'Etat après avis
publié et motivé de la CNIL -article 26 II-), comme par exemple
en matière de terrorisme.
Votre commission des Lois vous propose d'adopter un
amendement
étendant ces possibilités aux traitements de recherche en
matière de santé.
Article 37 modifié de la loi du 6 janvier 1978
Tiers non
autorisé
L'article 37 modifié de la loi du 6 janvier 1978
prévoit que les dispositions de la loi du 6 janvier 1978 modifiée
ne font pas obstacle à l'application, au bénéfice de
tiers, des dispositions du titre Ier de la loi n° 78-753 du 17
juillet 1978 portant diverses mesures d'amélioration des relations entre
l'administration et le public et diverses dispositions d'ordre administratif,
social et fiscal, ni des dispositions du titre II de la
loi n° 79-18 du 3 janvier 1979 sur les archives.
Par conséquent, le titulaire d'un droit d'accès aux documents
administratifs ou aux archives publiques en vertu de ces deux lois ne peut
être regardé comme un tiers non autorisé.
SECTION 2
Droits des personnes à l'égard des
traitements
de données à caractère personnel
Les droits
d'opposition, d'accès et de rectification
Article 38 modifié de la loi du 6 janvier 1978
Droit
d'opposition
L'actuel
article 26 de la loi du 6 janvier 1978 prévoit que toute personne
physique a le droit de s'opposer,
pour des raisons légitimes
,
à ce que des informations nominatives la concernant fassent l'objet d'un
traitement.
Ce droit ne s'applique pas aux traitements devant être autorisés
par un acte réglementaire pris après avis motivé de la
CNIL (article 15), c'est-à-dire les traitements automatisés
d'informations nominatives opérés pour le compte de l'Etat, d'un
établissement public ou d'une collectivité territoriale ou d'une
personne morale de droit privé gérant un service public.
L'article 38 modifié reprend la mention faite au premier alinéa
des
«
motifs légitimes
», mais
complète les dispositions actuelles en prévoyant que la personne
physique a le
droit de s'opposer
, sans frais, à ce que les
données la concernant soient utilisées
à des fins de
prospection
, notamment commerciale, par le responsable actuel du traitement
ou celui d'un traitement ultérieur.
C'était en effet l'une des deux préconisations alternatives
prévues par le b) de l'article 14 de la directive 95/46 CE. Outre ce
droit d'opposition aux traitements à des fins de prospection, la
personne concernée pouvait être informée avant la
première communication à des tiers ou la première
utilisation pour le compte de tiers à des fins de prospection et se voir
expressément offrir le droit de s'y opposer, gratuitement.
C'est donc la première solution qui a été choisie par le
présent projet de loi.
Cependant, le dernier alinéa de l'article 38 modifié de la loi
précise que la personne ne peut s'opposer à un traitement la
concernant lorsque le traitement répond à une obligation
légale ou quand une disposition expresse de l'acte autorisant le
traitement le prévoit. Ce dernier cas vise les traitements dits de
souveraineté autorisés par un acte réglementaire, pris
après avis de la CNIL conformément aux dispositions des articles
26 et 27 modifiés de la loi du 6 janvier 1978.
Votre commission des Lois vous propose d'adopter un
amendement
rédactionnel.
Article 39 modifié de la loi du 6 janvier 1978
Droit
d'accès
L'article 39 modifié traite du droit d'accès des
personnes physiques aux données à caractère personnel les
concernant.
Actuellement, c'est l'article 35 de la loi du 6 janvier 1978 qui en
prévoit les modalités.
Celui-ci précise ainsi que le titulaire du droit d'accès
(défini à l'article 34 comme étant la personne justifiant
de son identité) peut obtenir communication des informations le
concernant. La communication,
en langage clair
, doit être conforme
au contenu des enregistrements.
Lorsqu'il y a lieu de craindre la dissimulation ou la disparition des
informations, et même avant l'exercice d'un recours juridictionnel, il
peut être demandé au juge compétent que soient
ordonnées toutes mesures de nature à éviter cette
dissimulation ou cette disparition.
L'article 39 modifié reprend sensiblement les dispositions de l'actuel
article 35 en les précisant, afin de transposer l'article 12 de la
directive, puisqu'il prévoit que toute personne physique justifiant de
son identité a le droit d'interroger le responsable d'un traitement de
données à caractère personnel en vue d'obtenir la
confirmation que des données la concernant font ou ne font pas l'objet
d'un traitement ; des informations relatives aux finalités du
traitement, aux catégories de données traitées et aux
destinataires ou aux catégories de destinataires auxquels les
données sont communiquées ; la communication, sous une forme
accessible, des données la concernant ainsi que de toute information
disponible sur leur origine ; les informations permettant de
connaître et de contester la logique sous-tendant le traitement
automatisé lorsque ses résultats lui sont opposés.
Votre commission des Lois vous propose d'adopter un
amendement
prévoyant que la personne faisant une demande d'accès doit
pouvoir savoir si des données la concernant ont été
transférées à des Etats tiers.
A l'initiative de M. Gérard Gouzes, rapporteur,
l'Assemblée nationale a, avec l'avis favorable du Gouvernement,
adopté un amendement tendant à s'assurer que les informations
communiquées à la personne concernée ne portent pas
atteinte aux droits d'auteur, notamment aux droits des créateurs de
logiciels et des producteurs de bases de données, ainsi que le
préconise la directive.
L'article 39 modifié précise également qu'une copie des
données est délivrée à l'intéressé
à sa demande. Dorénavant, la délivrance de cette copie
pourra être subordonnée au paiement d'une somme qui ne peut
excéder le coût de la reproduction, alors qu'actuellement, il est
exigé une redevance forfaitaire variable selon la catégorie de
traitement et dont le montant est fixé par décision de la CNIL et
homologué par arrêté du ministre de l'économie et
des finances.
En outre, le dernier alinéa du paragraphe I reprend les dispositions de
l'actuel article 35 en prévoyant qu'en cas de risque de dissimulation ou
de disparition des données, le juge compétent peut ordonner, y
compris en référé, toutes mesures de nature à
éviter cette disparition ou cette dissimulation.
Le juge compétent peut être soit le juge administratif, si le
responsable du traitement est l'Etat, une personne morale de droit public ou
une personne morale de droit privé gérant un service public, soit
le juge judiciaire dans les autres cas.
Le
paragraphe II
de l'article 39 modifié reprend la disposition
actuelle prévoyant que le responsable du traitement peut s'opposer aux
demandes manifestement abusives
, notamment par leur nombre, leur
caractère répétitif ou systématique. Actuellement,
ces trois situations constituent une liste exhaustive d'exceptions, mais le
projet de loi ne les cite désormais plus qu'à titre d'exemples
afin d'en élargir le champ. En effet, une demande pourrait
également être abusive par son étendue, parce qu'elle
porterait par exemple sur une période de quinze ans. Cette modification
a été opérée par l'Assemblée nationale
à l'initiative de M. Gérard Gouzes, rapporteur, et avec
l'avis favorable du Gouvernement.
La directive retenait, quant à elle, la notion d'intervalles
raisonnables.
La disposition de la loi actuelle selon laquelle la CNIL peut accorder au
responsable du fichier des délais de réponse n'est pas reprise.
Le projet de loi complète les dispositions actuelles en prévoyant
qu'en cas de contestation, la charge de la preuve du caractère
manifestement abusif des demandes incombe au responsable auquel elles sont
adressées. Cette précision a été introduite par
l'Assemblée nationale à l'initiative de
M. Gérard Gouzes, rapporteur, et M. Jean Codognès, du
groupe socialiste, avec l'avis favorable du Gouvernement. Il s'agit
d'établir un parallélisme avec le droit de rectification
énoncé à l'article 40 modifié de la loi.
Le dernier alinéa du paragraphe II de l'article 39 modifié de la
loi du 6 janvier 1978 exclut cependant du bénéfice du droit
d'accès les données à caractère personnel
conservées pendant une durée n'excédant pas celle
nécessaire à l'établissement de statistiques dans les
conditions prévues par la loi n° 51-711 du 7 juin 1951 portant sur
l'obligation, la coordination et le secret en matière de statistiques.
Votre commission des Lois vous propose d'adopter un
amendement
élargissant la possibilité de limitation des droits
d'accès, de rectification et d'effacement
dans le cadre de la
recherche scientifique
, tout en l'entourant de garanties, ainsi que le
permet le paragraphe 2 de l'article 13 de la directive.
Ainsi, cette dérogation devra être appréciée par la
CNIL, en particulier au vu de la finalité statistique du traitement, de
la nature plus ou moins personnelle des données traitées et des
mesures de sécurité prévues.
En outre, votre commission des Lois vous propose d'adopter un
amendement
rédactionnel
.
Article 40 modifié de la loi du 6 janvier 1978
Droit de
rectification
L'article 40 modifié de la loi traite du
droit de
rectification
.
Actuellement, l'article 36 prévoit que le titulaire du droit
d'accès peut exiger que soient rectifiées,
complétées, clarifiées, mises à jour ou
effacées les informations inexactes, incomplètes,
équivoques, périmées le concernant ou dont la collecte, ou
l'utilisation, la communication ou la conservation est interdite.
Le b) de l'article 12 de la directive 95/46 CE prévoit que les Etats
membres garantissent à toute personne concernée le droit
d'obtenir du responsable du traitement selon le cas, la rectification,
l'effacement ou le
verrouillage
des données dont le traitement
n'est pas conforme à la directive, notamment en raison du
caractère incomplet ou inexact des données.
L'article 40 modifié reprend donc la liste actuelle en la
complétant avec la notion de verrouillage.
Son deuxième alinéa prévoit en outre que lorsque
l'intéressé en fait la demande, le responsable du traitement doit
justifier, sans frais pour le demandeur, qu'il a procédé à
ces opérations.
En cas de contestation, la charge de la preuve incombe au responsable
auprès duquel est exercé le droit d'accès, sauf lorsqu'il
est établi que les données contestées ont
été communiquées par l'intéressé ou avec son
accord, ce qui n'était pas prévu par la directive, mais constitue
la reprise du deuxième alinéa de l'actuel article 36.
Par ailleurs, il est actuellement prévu, lorsque le titulaire du droit
d'accès obtient une modification de l'enregistrement que la redevance
versée pour le droit d'accès est remboursée, ce que
l'article 40 modifié reprend.
En outre, le cinquième alinéa de l'article 40 modifié
précise que si une donnée a été transmise à
un tiers, le responsable du traitement doit accomplir les diligences utiles
afin de lui notifier les opérations effectuées.
Actuellement, l'article 38 de la loi du 6 janvier 1978 prévoit dans un
tel cas une obligation de résultat, la rectification ou l'annulation des
données devant être notifiées au tiers, sauf dispense
accordée par la CNIL.
Il ne s'agira plus désormais que d'une obligation de moyens,
conformément au point c) de l'article 12 de la directive 95/46 CE, qui
prévoit une telle mesure uniquement si elle ne s'avère pas
impossible ou ne suppose pas un effort disproportionné.
Cette
disposition paraît marquée du sceau du réalisme.
L'Assemblée nationale a en outre adopté avec l'avis favorable du
Gouvernement deux amendements, dont un rédactionnel,
présentés par M. Gérard Gouzes, rapporteur, afin
de prendre en compte les droits des héritiers.
Ainsi, les héritiers d'une personne décédée
justifiant de leur identité peuvent, si des éléments
portés à leur connaissance laissent présumer que les
données à caractère personnel la concernant faisant
l'objet d'un traitement n'ont pas été actualisées, exiger
du responsable du traitement qu'il prenne en compte le décès et
procède aux mises à jour. Ils peuvent alors interroger le
responsable du traitement afin d'obtenir la confirmation de l'existence ou non
de traitements relatifs à des données à caractère
personnel concernant le défunt. Néanmoins, les héritiers
ne pourront effacer des précisions que, de son vivant, la personne
décédée avait laissé figurer dans un fichier.
Votre commission des Lois vous propose d'adopter un
amendement
rédactionnel
.
Article 41 modifié de la loi du 6 janvier 1978
Droit d'accès
indirect en matière de traitements de
souveraineté
Les
garanties prévues par le régime général s'agissant
du droit d'accès et de rectification sont incompatibles avec les
traitements de données à caractère personnel dits de
souveraineté, c'est-à-dire ceux intéressant la
défense de l'Etat, la sûreté et la sécurité
publiques.
Actuellement, l'article 39 de la loi du 6 janvier 1978 prévoit une
procédure d'accès indirect aux données intéressant
la sûreté de l'Etat, la défense et la
sécurité publique. La demande est adressée à la
CNIL, qui désigne l'un de ses membres appartenant ou ayant appartenu au
Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes
pour mener toutes investigations utiles et faire procéder aux
modifications nécessaires. Celui-ci peut se faire assister d'un agent de
la CNIL.
La directive admet tout à fait de telles dérogations, puisque son
article 13, relatif aux exceptions et limitations, dispose que les Etats
membres peuvent prendre des mesures législatives pour limiter la
portée du droit d'accès lorsqu'une telle limitation constitue une
mesure nécessaire pour sauvegarder la sûreté de l'Etat, la
défense, la sécurité publique, la prévention, la
recherche, la détection et la poursuite d'infractions pénales ou
de manquements à la déontologie dans le cas des professions
réglementées, un intérêt économique ou
financier important d'un Etat membre, y compris dans les domaines
monétaire, budgétaire et fiscal, une mission de contrôle,
d'inspection et de réglementation, la protection de la personne
concernée ou des droits et libertés d'autrui.
Le point 4 de l'article 28 de la directive prévoit également que
chaque autorité de contrôle peut être saisie par toute
personne, ou par une association la représentant, d'une demande relative
à la protection de ses droits et libertés à l'égard
du traitement de données à caractère personnel. La
personne concernée est informée des suites données
à sa demande. Chaque autorité de contrôle peut, en
particulier, être saisie par toute personne d'une demande de
vérification de la licéité d'un traitement lorsque les
dispositions nationales ont prévu des exceptions au droit d'accès
en vertu de l'article 13 de la directive. La personne est à tout le
moins informée de ce qu'une vérification a eu lieu.
Par ailleurs, la directive prévoit également que, sous
réserve de garanties légales appropriées, excluant
notamment que les données puissent être utilisées aux fins
de mesures ou de décisions se rapportant à des personnes
précises, les Etats membres peuvent, dans le cas où il n'existe
manifestement aucun risque d'atteinte à la vie privée de la
personne concernée, limiter par une mesure législative les droits
d'accès lorsque les données sont traitées exclusivement
aux fins de la recherche scientifique ou sont stockées sous la forme de
données à caractère personnel pendant une durée
n'excédant pas celle nécessaire à la seule finalité
d'établissement de statistiques.
Cette dernière hypothèse n'a pas été reprise par le
présent projet de loi.
Cependant,
alors que l'actuel article 39 prévoit uniquement qu'il est
notifié au requérant qu'il a été
procédé aux vérifications
,
l'article 41
modifié distingue deux cas
, afin de
renforcer les garanties
offertes aux personnes concernées par des données figurant dans
un fichier protégé
.
La CNIL avait en effet rappelé dans son avis sur le présent
projet de loi que le décret du 14 octobre 1991 relatif aux fichiers des
renseignements généraux permettait, dans certaines circonstances
et sous certaines conditions, au titulaire du droit d'accès d'avoir
communication de tout ou partie de son dossier, cette consultation ne mettant
pas nécessairement en danger les intérêts vitaux de l'Etat.
Dorénavant, l'article 41 modifié prévoit
que
lorsque la CNIL constate, en accord avec le responsable du traitement, que la
communication des données à caractère personnel
enregistrées ou de leurs rectifications ne met pas en cause les
finalités poursuivies par ces traitements, ces données ou
rectifications sont communiquées au requérant
. Dans les
autres cas, la CNIL informe le requérant qu'il a été
procédé aux vérifications.
Ceci constitue une avancée importante en matière de transparence.
Notons que ces dispositions ont été parallèlement
modifiées lors de l'examen en première lecture par
l'Assemblée nationale du projet de loi relatif à la
sécurité intérieure, à l'initiative de
M. Estrosi, rapporteur dudit projet de loi, le Gouvernement ayant
présenté un sous-amendement.
Ainsi, la rédaction retenue par la loi n° 2003-239 du
18 mars 2003 pour la sécurité intérieure de
l'article 39 de la loi du 6 janvier 1978 anticipe sur les dispositions
prévues par le présent projet de loi en permettant à la
CNIL, avec l'accord du responsable du traitement, de communiquer aux personnes
mentionnées dans ces fichiers des données les concernant y
figurant dès lors que cette communication ne met pas en cause la
sûreté de l'Etat.
Elle inclut le sous-amendement adopté à l'initiative du
Gouvernement et auquel s'était rallié le rapporteur de
l'Assemblée nationale, qui introduit de nouvelles garanties très
intéressantes. Ainsi, l'acte réglementaire portant
création du fichier peut prévoir la communication d'informations
au requérant par le gestionnaire du fichier
directement saisi
si
le traitement est susceptible de comprendre des informations dont la
communication ne mettrait pas en cause les fins qui lui sont assignées.
Tout en regrettant que cette modification intervienne parallèlement
à l'examen du présent projet de loi par la commission des Lois,
votre rapporteur se félicite des avancées apportées.
Article 42 modifié de la loi du 6 janvier 1978
Droit d'accès
indirect en matière d'infractions et
d'impositions
L'article 42 modifié de la loi du 6 janvier 1978
prévoit également un accès indirect s'effectuant selon les
mêmes modalités qu'à l'article 41 modifié s'agissant
des traitements mis en oeuvre par les administrations publiques et les
personnes privées chargées d'une mission de service public ayant
pour objet de prévenir, rechercher ou constater des infractions ou de
contrôler ou recouvrer des impositions, si un tel droit a
été prévu par l'autorisation délivrée par la
CNIL, par arrêté ou par décret (articles 25, 26 et 27
modifiés).
Le rapport de M. Guy Braibant s'inquiétait de l'ampleur de ces
dérogations potentielles, notamment s'agissant des traitements fiscaux.
Il soulignait néanmoins que seuls les traitements ayant pour but de
lutter contre la fraude fiscale (ce qui exclut la plupart des traitements
fiscaux, qui ont pour finalité d'établir et de percevoir
l'impôt) pourraient bénéficier de cet article, et que la
pratique de l'administration fiscale en matière de droit d'accès
aboutissait déjà en fait à priver les personnes d'un droit
d'accès direct.
L'article 42 tel que formulé par le projet de loi permettrait aux
administrations et services publics ayant pour mission de prévenir,
rechercher, constater des infractions ou recouvrer des impositions de s'opposer
à l'exercice du droit d'accès, lorsqu'elles estiment que celui-ci
risquerait de porter atteinte à l'accomplissement de leurs missions. Il
reviendrait à reconnaître un pouvoir décisionnel au seul
organisme destinataire des données, dont l'exercice serait placé
sous le seul contrôle du juge administratif.
Ce régime concernerait en particulier des données
régulièrement transmises non pas par la personne
concernée, mais par des tiers, sur le fondement d'obligations
déclaratives, comme les déclarations fiscales à la charge
des employeurs. Il s'agit de données très différentes de
celles inscrites dans les autres traitements soumis au droit d'accès
indirect puisque les données ainsi traitées concernent la
quasi-totalité de la population et n'ont pas en elles-mêmes de
caractère sensible.
Néanmoins, la référence faite à l'article 41,
parallèlement modifié par la loi pour la sécurité
intérieure précitée, devrait permettre d'apporter des
garanties suffisantes.
Votre commission des Lois vous propose
d'adopter ces quinze amendements,
dont cinq amendements rédactionnels, puis d'adopter l'article 5 ainsi
modifié
.
Article 6
(Chapitre VI de la loi n° 78-17 du 6 janvier
1978)
Pouvoirs de contrôle sur place et sur pièces de la
CNIL
La
directive 95/46/CE vise principalement à garantir une application
effective des normes relatives à la protection des données
à caractère personnel, et confie pour ce faire un rôle
prépondérant aux autorités de contrôle nationales,
qui devront disposer de pouvoirs
a posteriori
très
conséquents.
En France, c'est la CNIL qui est chargée de protéger les
libertés individuelles, en sanctionnant les manoeuvres de dissimulation,
l'absence de déclaration des fichiers, les déclarations
incomplètes, voire l'absence ou les lacunes de déclarations de
fichiers.
Le chapitre VI de la loi n° 78-17 du 6 janvier 1978 relatif aux
dispositions pénales est donc modifié et traitera
dorénavant du contrôle de la mise en oeuvre des traitements. Il
comprend un unique article 44 modifié prévoyant un pouvoir de
vérifications sur place et sur pièces.
Actuellement, le 2° de l'article 21 de la loi prévoit
déjà que la CNIL peut, par décision particulière,
charger un ou plusieurs de ses membres ou de ses agents, assistés, le
cas échéant, d'experts, de procéder à
l'égard de tout traitement à des vérifications sur place
et de se faire communiquer tous renseignements et documents utiles à sa
mission.
Tous les traitements, y compris ceux dits de souveraineté
, sont
ainsi susceptibles de faire l'objet de vérifications. Ainsi, le
dernier alinéa du même article précise que les ministres,
autorités publiques, dirigeants d'entreprises, publiques ou
privées, responsables de groupements divers et plus
généralement les détenteurs et utilisateurs de fichiers
nominatifs ne peuvent s'opposer à l'action de la CNIL ou de ses membres
pour quelque motif que ce soit, mais doivent au contraire prendre toutes
mesures utiles afin de faciliter sa tâche.
Le règlement intérieur de la CNIL prévoit néanmoins
que l'autorité concernée est prévenue avant tout
contrôle.
Actuellement, l'article 11 de la loi permet par ailleurs à la CNIL de
demander aux premiers présidents de cour d'appel ou aux
présidents des tribunaux administratifs de déléguer un
magistrat de leur ressort, éventuellement assisté d'experts, pour
des missions d'investigation et de contrôle effectuées sous sa
direction.
De plus, l'article 13, repris par le projet de loi à l'article 21
modifié, précise que les informaticiens appelés soit
à donner des renseignements à la CNIL, soit à
témoigner devant elle, sont déliés de leur obligation de
discrétion.
Cependant, le point 3 de l'article 28 de la directive impose d'aller plus loin.
Il prévoit en effet que chaque autorité de contrôle doit
disposer notamment de pouvoirs d'investigation, tels que le pouvoir
d'accéder aux données faisant l'objet d'un traitement et de
recueillir toutes les informations nécessaires à
l'accomplissement de sa mission de contrôle.
Article 44 modifié de la loi du 6 janvier 1978
Pouvoir de
contrôle
L'article 44 modifié tend à définir les
modalités d'exercice du pouvoir de contrôle sur place et sur
pièces dévolu à la CNIL.
Ces nouvelles règles tendent à simplifier la procédure de
contrôle, qui est amenée à devenir le mode d'intervention
ordinaire de la CNIL, ainsi qu'elle le soulignait dans son avis sur le
présent projet de loi.
Ainsi, alors que la procédure suivie par la Commission des
opérations de bourse requiert l'autorisation du président du
tribunal de grande instance dans le ressort duquel sont situés les
locaux à visiter, que l'occupant des lieux ait donné ou non son
accord à la visite
30(
*
)
,
le projet de loi distingue deux cas de figure s'agissant de la CNIL :
- une procédure simplifiée de droit commun prévoyant
une simple information préalable du procureur de la
République (I) ;
- une procédure requérant l'autorisation du président
du tribunal de grande instance ou du juge délégué par lui
en cas d'opposition du responsable des lieux (II).
Le
paragraphe I
prévoit tout d'abord que les membres de la CNIL,
ainsi que ceux de ses agents habilités en vertu de l'article 19
modifié, ont accès de 6 heures à 21 heures, pour
l'exercice de leurs missions, aux locaux servant à la mise en oeuvre
d'un traitement de données à caractère personnel et
à usage professionnel, à l'exclusion des parties de ceux-ci
affectées au domicile privé.
Dans son avis sur le présent projet de loi, la CNIL s'inquiétait
de cette rédaction, qui, selon elle, «
pourrait faire
échapper de nombreux fichiers à une possibilité de
contrôle : fichiers d'associations, fichiers de start-up, fichiers
des professions libérales ou d'entrepreneurs
individuels
». Néanmoins, le pouvoir de contrôle de
la CNIL est ici confronté à la protection de la vie
privée, qui recouvre le domicile, et que le Conseil constitutionnel a
strictement encadré. Ainsi, dans sa décision n° 87-240 DC du
19 janvier 1988 sur la Commission des opérations de bourse, le Conseil
constitutionnel a précisé que ses agents pouvaient avoir
accès à tous les locaux professionnels «
à
condition que ceux-ci soient exclusivement consacrés à cet
usage
».
Le projet de loi va d'ailleurs déjà au-delà, puisqu'il
prévoit qu'un local à usage professionnel, mais situé dans
un domicile privé, pourra être contrôlé par les
agents de la CNIL, seuls les locaux exclusivement privatifs demeurant hors du
champ de leur compétence.
Par ailleurs, l'encadrement des horaires de contrôle -de 6 heures
à 21 heures- s'inspire des règles applicables aux
perquisitions judiciaires des domiciles privés, prévues par
l'article 59 du code de procédure pénale, ainsi que des
règles applicables à une autre autorité administrative
indépendante, la Commission des opérations de bourse
31(
*
)
.
Enfin, le second alinéa de ce paragraphe I prévoit que le
procureur de la République territorialement compétent est
préalablement informé de ces vérifications.
Dans son avis sur le présent projet de loi, la CNIL estimait cette
obligation «
dépourvue de toute utilité et de nature
à renforcer l'idée d'un contrôle sanction alors même
que les contrôles sur place sont appelés à devenir le mode
d'intervention ordinaire de la Commission
».
Néanmoins, votre commission des Lois souligne que cette obligation
parait peu contraignante par rapport à la nécessité pour
la Commission des opérations de bourse d'obtenir l'autorisation du
président du tribunal de grande instance. Elle vise surtout à une
bonne administration de la justice, en favorisant l'information du
ministère public chargé de l'action publique. Ainsi, en cas de
plainte d'un particulier contre le responsable d'un traitement de
données à caractère personnel, il est souhaitable que le
procureur de la République ait connaissance des contrôles
effectués par la CNIL.
Cette disposition est conforme à l'article 28 de la directive qui
prévoit que les autorités de contrôle disposent de
«
pouvoirs effectifs d'intervention
» tels que, par
exemple, celui d'ordonner le verrouillage, l'effacement ou la destruction de
données, ou d'interdire temporairement ou définitivement un
traitement, ou celui d'adresser un avertissement ou une admonestation au
responsable du traitement ou celui de saisir les parlements nationaux ou
d'autres institutions politiques, ou d'ester en justice.
Par ailleurs, le
paragraphe II
de l'article 44 modifié de la loi
du 6 janvier 1978 prévoit qu'en cas d'
opposition du responsable
des lieux
, la visite ne peut se dérouler qu'avec l'autorisation du
président du tribunal de grande instance ou du juge
délégué par lui.
Votre commission des Lois vous propose tout d'abord d'adopter un
amendement
rédactionnel
précisant qu'il s'agit du président du
tribunal de grande instance dans le ressort duquel sont situés les
locaux à visiter.
Le rapport de M. Guy Braibant rappelait en effet que s'il existe
déjà un délit d'entrave visant le refus de coopérer
avec la CNIL, il était insuffisant pour permettre des contrôles
efficaces, les responsables faisant disparaître les preuves. Il appelait
ainsi à ce que la CNIL puisse procéder à ces visites sans
l'accord des intéressés et à des saisies dans les
mêmes conditions que le Conseil de la concurrence ou la Commission des
opérations de bourse (article 5 ter de l'ordonnance du 28 septembre
1967), dans le respect des règles déterminées par la
jurisprudence du Conseil constitutionnel.
Ceci implique donc une autorisation judiciaire, ainsi qu'un contrôle
constant de la part du juge.
Le magistrat compétent doit donc être saisi par requête du
président de la CNIL. Il statue par une ordonnance motivée,
conformément aux dispositions des articles 493 à 498 du nouveau
code de procédure civile, relatifs aux ordonnances sur requête. Il
s'agit de décisions provisoires rendues non contradictoirement lorsque
le requérant est fondé à ne pas appeler la partie adverse,
notamment lorsqu'il y a crainte que les documents soient détruits ou que
des pressions soient exercées.
De plus, la visite s'effectue sous l'autorité et le contrôle du
juge qui l'a autorisée. Il peut se rendre sur les lieux durant
l'intervention et peut à tout moment décider l'arrêt ou la
suspension de la visite.
On notera que ces dispositions ne font pas obstacle à la mise en oeuvre
parallèle de sanctions pénales au titre du délit d'entrave
à l'action de la CNIL, prévu par l'article 51 nouveau (article 8
du présent projet de loi).
En outre, la procédure est sans représentation obligatoire.
Le
paragraphe III
prévoit que les membres de la CNIL et les
agents habilités peuvent demander communication de tous documents
nécessaires à l'accomplissement de leur mission, quel qu'en soit
le support, et en prendre copie. Ils peuvent recueillir, sur place ou sur
convocation, tout renseignement et toute justification utiles. Ils peuvent
accéder aux logiciels et aux données, ainsi qu'en demander la
transcription.
Ils peuvent, à la demande du président de la CNIL, être
assistés par des experts.
Il s'agit là de dispositions classiques s'agissant d'autorités
administratives indépendantes.
Votre commission des Lois vous propose d'adopter un
amendement
rédactionnel tendant à élargir les documents auxquels
peuvent avoir accès les agents
, afin d'inclure les disques durs,
outre les logiciels.
Le projet de loi initial précisait en outre au troisième
alinéa du paragraphe II que
seul un médecin pouvait
requérir communication de données médicales
individuelles
incluses dans un traitement.
La CNIL avait estimé dans son avis sur le présent projet de loi
que cette disposition pourrait entraîner des difficultés pratiques
«
dans la mesure où elle ne vise pas uniquement les
traitements mis en oeuvre par les cabinets médicaux mais tous les
traitements qui comporteraient des données médicales, tels que
les fichiers de caisse de sécurité sociale (placés sous la
responsabilité d'un médecin conseil mais traités par des
statisticiens ou des agents de contrôle n'ayant pas la qualité de
médecin), les fichiers médicaux ou des risques aggravés
« vie » des sociétés d'assurance (accessibles
aux actuaires et même aux banquiers), les fichiers de nombreuses
associations d'aide aux malades
». La règle du secret
médical est en effet souvent opposée aux membres de la CNIL lors
des missions de contrôle.
L'Assemblée nationale a donc adopté, sur proposition du
rapporteur, M. Gérard Gouzes, et avec l'avis favorable du
Gouvernement, outre un amendement de précision, un amendement tendant
à préciser que parmi les données médicales, seules
celles figurant dans des traitements mis en oeuvre par un membre d'une
profession de santé, nécessaires aux fins de la médecine
préventive, de la recherche médicale, des diagnostics
médicaux, de l'administration de soins et de traitements, ou à la
gestion de services de santé, et mis en oeuvre par un membre d'une
profession de santé, doivent être requises par un médecin.
Enfin, le dernier alinéa de l'article 44 modifié indique que les
visites et vérifications effectuées par les membres de la CNIL
doivent faire l'objet d'un procès-verbal dressé
contradictoirement. Il s'agit d'une disposition nouvelle, qui doit garantir les
droits de la défense. Ces questions font d'ailleurs l'objet de
dispositions très précises, s'agissant notamment de la Commission
des opérations de bourse.
Votre commission des Lois vous propose donc d'
adopter deux amendements, puis
d'adopter l'article 6 ainsi modifié
.
Article 7
(Chapitre VII de la loi n° 78-17 du 6 janvier
1978)
Pouvoirs de sanction administrative de la
CNIL
La
directive prévoit principalement de remplacer le contrôle
a
priori
par le contrôle
a posteriori
, mis à part pour
les traitements de données à caractère personnel
présentant un risque particulier pour les libertés. Afin de
maintenir un niveau de protection équivalent, ainsi que le
prévoit le considérant 10, la CNIL est donc dotée de
moyens d'intervention
a posteriori
renforcés et d'un pouvoir de
sanction accru.
Cet article remplace le chapitre VII de la loi du 6 janvier 1978 actuellement
consacré aux dispositions diverses par un chapitre intitulé
«
sanctions infligées par la Commission nationale de
l'informatique et des libertés
», qui comprend les
nouveaux articles 45 à 49.
Votre commission des Lois vous propose d'adopter un
amendement
rédactionnel
, les sanctions étant prononcées et non
infligées.
Les dispositions de ce chapitre reprennent pour l'essentiel les dispositions du
paragraphe 3 de l'article 28 de la directive 95/46 CE, complétées
par un
dispositif de sanction pécuniaire
pour l'autorité
de contrôle. La création de ce dernier, qui n'était
pas
requise par la directive, découle d'une recommandation du rapport de M.
Guy Braibant
.
Le point 3 de l'article 28 de la directive prévoit en effet que
l'autorité de contrôle dispose notamment de pouvoirs effectifs
d'intervention tels que :
- ordonner le verrouillage, l'effacement ou la destruction de
données, ou interdire temporairement ou définitivement un
traitement, ou adresser un avertissement ou une admonestation au responsable du
traitement ;
- saisir les parlements nationaux ou d'autres institutions
politiques ;
- ester en justice en cas de violation des dispositions nationales prises
en application de la directive ou porter ces violations à la
connaissance de l'autorité judiciaire.
Les décisions de l'autorité de contrôle faisant grief
peuvent faire l'objet d'un recours juridictionnel.
Article 45 modifié de la loi du 6 janvier 1978
Pouvoir de sanction
administrative - Juge des
référés
Actuellement, le 4° de l'article 21 de la loi du 6
janvier 1978
prévoit que la CNIL peut adresser aux intéressés des
avertissements et dénoncer au parquet les infractions dont elle a
connaissance, conformément à l'article 40 du code de
procédure pénale.
En outre, le 3° précise qu'«
en cas de circonstances
exceptionnelles
», la CNIL peut prescrire des mesures de
sécurité pouvant aller jusqu'à la destruction des supports
d'informations. En pratique, une telle mesure entraîne des
conséquences très importantes pour les entreprises (destruction
d'un fichier de clients ou de fichiers de paye...) et ne peut donc être
que difficilement appliquée.
Il importait donc de trouver des mesures alternatives et pouvant effectivement
être appliquées.
Or, le Conseil constitutionnel a admis, dans diverses
décisions
32(
*
)
, dont celle
n° 89-260 DC du 28 juillet 1989 sur la Commission des opérations de
bourse, la dévolution d'un pouvoir de sanction à une
autorité administrative indépendante «
dès
lors, d'une part, que la sanction susceptible d'être infligée est
exclusive de toute privation de liberté et, d'autre part, que l'exercice
du pouvoir de sanction est assorti par la loi de mesures destinées
à sauvegarder les droits et libertés constitutionnellement
garantis
».
Les garanties constitutionnellement exigées portent tant sur le fond que
sur la forme.
Selon le Conseil constitutionnel, la loi peut, sans qu'il soit porté
atteinte au principe de la séparation des pouvoirs, doter une
autorité administrative indépendante d'un pouvoir de sanction,
dans la limite nécessaire à l'accomplissement de sa mission. Dans
sa décision du 28 juillet 1989, le Conseil considère
que «
le principe de la séparation des pouvoirs, non plus
qu'aucun principe ou règle de valeur constitutionnelle, ne fait obstacle
à ce qu'une autorité administrative, agissant dans le cadre de
prérogatives de puissance publique, puisse exercer un pouvoir de
sanction
».
L'exercice de ce pouvoir de sanction se trouve encadré par des garanties
analogues à celles de la procédure pénale : principe
de non-rétroactivité, principe de nécessité ou de
proportionnalité des peines, tirés de l'article 8 de la
déclaration des droits de l'homme et du citoyen, et principe du respect
des droits de la défense.
S'agissant du principe de légalité des délits et des
peines, également applicable aux sanctions administratives, le Conseil
constitutionnel a considéré que «
l'exigence d'une
définition des infractions sanctionnées se trouvait satisfaite en
matière administrative par la référence aux obligations
auxquelles le titulaire d'une autorisation administrative est soumis en vertu
des lois et règlements
».
La Commission des opérations de bourse (article 5-9 de l'ordonnance du
28 septembre 1967), le Conseil de la concurrence (article 13 de l'ordonnance du
2 décembre 1986) et le Conseil supérieur de l'audiovisuel
(article 42-2 de la loi du 30 septembre 1996) en usent déjà
efficacement.
Le projet de loi étend donc le pouvoir de sanction de la CNIL, tout en
prévoyant des garanties appropriées pour les responsables de
traitements.
Outre l'avertissement et la mise en demeure du responsable du traitement qui ne
respecterait pas les obligations légales, l'article 45 modifié
prévoit qu'en cas de persistance de l'infraction, la CNIL peut prononcer
à son encontre,
après une procédure
contradictoire
:
- une
sanction pécuniaire
(ce qui constitue une
innovation majeure et s'applique quelle que soit la nature du traitement
concerné). Votre commission des Lois vous propose d'adopter un
amendement rédactionnel
;
- une
injonction de cesser le traitement ou de procéder à
sa destruction
(s'il s'agit d'un traitement soumis à
déclaration préalable en application de l'article 22
modifié),
ou retirer l'autorisation
(lorsqu'il s'agit d'un
traitement soumis au régime de l'autorisation préalable en
application de l'article 25 modifié).
Contrairement à ce que prévoit la loi en vigueur, le projet de
loi initial ne reprenait pas la possibilité pour la CNIL de
détruire des données en cas de refus d'obtempérer. Le
rapporteur de l'Assemblée nationale, tout en reconnaissant que cette
possibilité n'avait jamais été mise en oeuvre par la CNIL,
estimait intéressant son caractère dissuasif. L'Assemblée
nationale a donc rétabli cette possibilité, avec l'avis favorable
du Gouvernement.
Votre commission des Lois vous
propose cependant de supprimer cette
possibilité
, qui pourrait avoir des conséquences importantes
pour une entreprise, d'autant plus que le nouvel article 226-22-2 du code
pénal introduit par l'article 14 du projet de loi prévoit que le
juge peut ordonner l'effacement de tout ou partie des données à
caractère personnel faisant l'objet du traitement ayant donné
lieu à l'infraction et que les membres et agents de la CNIL sont alors
habilités à constater cet effacement.
Réserver cette possibilité au juge paraît donc
préférable, d'autant que la CNIL pourra désormais
prononcer des sanctions pécuniaires.
Le paragraphe II prévoit qu'
en cas d'urgence et de menaces pour les
libertés
, la CNIL peut, après une procédure
contradictoire :
- décider l'interruption de la mise en oeuvre du traitement ou le
verrouillage de certaines des données traitées, pour une
durée maximale de trois mois, si le traitement ne fait pas partie des
traitements dits de souveraineté visés à l'article 26
modifié de la loi (c'est-à-dire ceux intéressant la
sûreté de l'Etat, la défense ou la sécurité
publique ou ayant pour objet la prévention, la recherche ou la poursuite
des infractions pénales ou l'exécution des condamnations
pénales ou des mesures de sûreté) ;
- saisir le Premier ministre pour qu'il prenne les mesures permettant de
faire cesser, le cas échéant, la violation constatée s'il
s'agit d'un traitement dit de souveraineté (visé aux I et II de
l'article 26 modifié). Le Premier ministre fait alors connaître
à la CNIL et rend publiques les suites données à cette
saisine au plus tard 15 jours après sa réception.
Votre commission des Lois vous
propose de supprimer cette nouvelle exigence
de publicité
inédite et mal adaptée à des
fichiers dont certains affectent la défense nationale ou la
sûreté de l'Etat, ou répondent à des
finalités de lutte contre la délinquance ou le terrorisme, et de
prévoir une
simple information
du Premier ministre et non sa
saisine.
La CNIL demeure libre d'informer le public par le biais de son rapport annuel
des signalements effectués à l'intention du Premier ministre et
des suites que celui-ci y a apportées.
Le paragraphe III de l'article 45 modifié prévoit enfin qu'
en
cas d'atteinte grave et immédiate aux droits et libertés
protégés par la loi du 6 janvier 1978, le
président de la CNIL peut demander par la
voie du
référé
à la juridiction compétente
d'ordonner, le cas échéant sous astreinte, toute mesure de
sécurité nécessaire à la sauvegarde de ces droits
et libertés.
La procédure du référé peut permettre de pallier la
lenteur des procédures administratives, qui requièrent le respect
du contradictoire, ainsi que la production d'un rapport écrit.
Ce dispositif nouveau est donc particulièrement opportun.
Le juge saisi relèvera de l'ordre judiciaire si le responsable du
traitement concerné oeuvre pour des intérêts privés
ou de l'ordre administratif si le responsable agit pour le compte de l'Etat,
d'un établissement public ou d'une collectivité locale, ou dans
le cadre de l'exécution d'une mission de service public.
Votre commission des Lois vous propose d'adopter un
amendement
rédactionnel
.
Article 46 modifié de la loi du 6 janvier 1978
Procédure en
matière de sanction
Conformément aux arrêts de la Cour
européenne
des droits de l'homme
33(
*
)
, la
sanction doit être motivée, notifiée aux
intéressés et susceptible de faire l'objet d'un recours de pleine
juridiction.
Le respect du contradictoire et des droits de la défense implique
également, après une mise en demeure restée infructueuse,
que le contrevenant reçoive notification des griefs, puisse consulter le
dossier, présenter ses observations écrites et orales et se faire
représenter ou assister par un avocat.
L'article 46 modifié de la loi du 6 janvier 1978 précise donc que
les sanctions (hormis la saisine du Premier ministre) sont prononcées
sur la base d'un rapport établi par l'un des membres de la CNIL,
désigné par le président parmi les membres n'appartenant
pas à la formation restreinte.
Rappelons qu'en vertu de l'article 17 modifié, c'est la formation
restreinte qui est chargée de prononcer les sanctions.
Il s'agit donc d'éviter que le rapporteur soit à la fois juge et
partie. Ainsi, conformément aux exigences de l'article 6 de la
Convention européenne de sauvegarde des droits de l'homme et des
libertés fondamentales relatif au droit à un procès
équitable, le rapporteur peut présenter des observations orales
à la CNIL, mais ne prend pas part à ses
délibérations
34(
*
)
.
Ce rapport est ensuite notifié au responsable du traitement qui peut
déposer des observations et se faire représenter ou assister.
Cette dernière précision a été adoptée par
l'Assemblée nationale à l'initiative du rapporteur,
M. Gérard Gouzes, et avec l'avis favorable du Gouvernement,
afin de rapprocher la procédure de celle suivie à la COB et mieux
assurer le respect des droits de la défense.
Il s'agit donc d'une procédure contradictoire.
La CNIL peut entendre toute personne et peut décider de rendre publiques
les sanctions qu'elle prononce, ce qui peut présenter un réel
intérêt pédagogique. Le rapport de M. Guy Braibant
suggérait d'ailleurs qu'une peine complémentaire d'affichage
puisse être prévue pour les peines contraventionnelles, et que les
peines de publication et de diffusion audiovisuelle actuellement prévues
puissent être étendues.
En outre, les sanctions de la CNIL sont motivées et notifiées
à l'intéressé. Elles peuvent faire l'objet d'un recours de
pleine juridiction devant le Conseil d'Etat.
Enfin, votre commission des Lois vous propose d'adopter un
amendement
rédactionnel
.
Article 47 modifié de la loi du 6 janvier 1978
Montant des
sanctions
L'article 47 modifié prévoit que le montant de
l'amende doit être «
proportionné à la
gravité des manquements commis et aux avantages tirés de ce
manquement
».
La nature des avantages n'étant pas précisée, la CNIL ne
sera pas limitée à la seule prise en compte de
bénéfices financiers.
L'article 47 modifié précise cependant que le montant de la
sanction ne peut excéder 150.000 euros pour un premier manquement ni
300.000 euros ou 5% du chiffre d'affaires en cas de récidive dans les
cinq années à compter de la date à laquelle la
première sanction pécuniaire est devenue définitive. C'est
l'Assemblée nationale, à l'initiative du rapporteur,
M. Gérard Gouzes, et avec l'avis favorable du Gouvernement,
qui a souhaité préciser les modalités de cette
récidive et l'encadrer dans le temps.
Le rapport de M. Guy Braibant préconisait pour sa part que les
sanctions pécuniaires soient limitées à 5% du chiffre
d'affaires de l'entreprise et lorsque le contrevenant n'est pas une entreprise,
à 10 millions de francs, c'est-à-dire à 150.000 euros.
Votre commission des Lois vous propose d'
adopter un amendement de
clarification
afin de bien préciser qu'une entreprise peut
être condamnée à 5 % du chiffre d'affaires hors taxes du
dernier exercice clos, dans la limite de 300.000 euros d'amende.
Le troisième alinéa de l'article 47 modifié prévoit
enfin que lorsque la CNIL a prononcé une sanction pécuniaire
devenue définitive avant que le juge pénal ait statué
définitivement sur les mêmes faits ou des faits connexes, celui-ci
peut
ordonner que la sanction pécuniaire s'impute sur l'amende
qu'il prononce.
Rappelons que le Conseil constitutionnel a estimé, dans sa
décision DC 97-395 du 30 décembre 1997, que
«
lorsqu'une sanction administrative est susceptible de se cumuler
avec une sanction pénale, le principe de proportionnalité
implique qu'en tout état de cause, le montant global des sanctions
éventuellement prononcées ne dépasse pas le montant le
plus élevé de l'une des sanctions encourues ; qu'il
appartiendra donc aux autorités administratives et judiciaires
compétentes de veiller au respect de cette exigence
».
Enfin, il est précisé que les sanctions pécuniaires sont
recouvrées comme les créances de l'Etat étrangères
à l'impôt et au domaine.
Article 48 modifié de la loi du 6 janvier 1978
Champ territorial des
sanctions
L'article 48 modifié prévoit que la CNIL peut,
à l'égard des traitements dont les opérations sont mises
en oeuvre,
en tout ou partie sur le territoire national, y compris lorsque
le responsable du traitement est établi sur le territoire d'un autre
Etat membre
de la Communauté européenne :
- faire des vérifications et des contrôles sur pièce
et sur place ; prononcer des sanctions administratives, pécuniaires
pour tous les types de traitements, des injonctions de cesser le traitement ou
procéder à sa destruction et retirer des autorisations ;
- en cas d'urgence et de menaces contre les libertés,
décider l'interruption de la mise en oeuvre du traitement ou le
verrouillage des données pour trois mois maximum s'il ne s'agit pas de
traitements dits de souveraineté ;
- saisir par référé le juge en cas d'atteinte grave
et immédiate aux droits et libertés pour ordonner, le cas
échéant sous astreinte, toute mesure de sécurité
nécessaire.
Cette disposition, importante, tend à faciliter l'effectivité des
contrôles et sanctions de la CNIL et à prévenir des
conflits de lois entre Etats membres.
*
* *
La loi du 6 janvier 1978 comporte actuellement 48 articles dont la substance et l'architecture sont profondément remaniés par le présent projet de loi. Les articles dont l'examen suit seront donc insérés in fine et prolongeront sa numérotation après l'adoption du présent projet de loi.
*
* *
Article 49 (nouveau) de la loi du 6 janvier 1978
Coopération
internationale
Le
paragraphe 6 de l'article 28 de la directive 95/46 CE prévoit que chaque
autorité peut être appelée à exercer ses pouvoirs
sur demande d'une autorité d'un autre Etat membre et que les
autorités de contrôle coopèrent entre elles dans la mesure
nécessaire à l'accomplissement de leurs missions, notamment en
échangeant toute information utile.
Ces dispositions communautaires sont transposées en droit interne par le
nouvel article 49 de la loi du 6 janvier 1978, qui comble ainsi un vide
juridique.
Il prévoit ainsi que la CNIL peut, à la demande d'une
autorité exerçant des compétences analogues dans un autre
Etat membre, procéder à des vérifications dans les
mêmes conditions, selon les mêmes procédures et sous les
mêmes sanctions, sauf s'il s'agit d'un traitement dit de
souveraineté.
Ces dispositions devraient en pratique jouer un rôle très
important. Cette coopération communautaire résulte de la
convergence des règles nationales opérée par la directive,
qui justifie donc une coopération pleine et entière entre
autorités de contrôle.
Votre commission des Lois vous propose d'
adopter ces sept amendements, dont
cinq rédactionnels, puis d'adopter l'article 7 ainsi
modifié
.
Article 8
(Chapitre VIII de la loi n° 78-17 du 6 janvier
1978)
Sanctions pénales et délit d'entrave à l'action
de la CNIL -
Information de la CNIL par le procureur de la
République
Le
régime des sanctions pénales encourues en cas de violation de la
loi du 6 janvier 1978 est actuellement traité dans le chapitre VI. Du
fait du remaniement opéré par le présent projet de loi, il
est transféré dans un chapitre VIII, qui comprend les
articles 50 à 52 nouveaux et constitue pour l'essentiel la reprise de
dispositions existantes.
L'article 24 de la directive 95/46 CE prévoit que les Etats membres
doivent prendre «
les mesures appropriées pour assurer la
pleine application des dispositions de la présente directive et
déterminent notamment les sanctions à appliquer en cas de
violation de dispositions prises en application de la présente
directive
».
Article 50 (nouveau) de la loi du 6 janvier 1978
Sanctions prévues
par le code pénal
L'article 50 nouveau, reprenant l'actuel article 41,
procède
à un renvoi au code pénal en précisant que les infractions
aux dispositions de la loi sont prévues et réprimées par
les articles 226-16 à 226-24 du code pénal, lesquels sont par
ailleurs modifiés par l'article 14 du présent projet de loi, et
seront donc étudiés plus précisément à cet
article.
L'article 226-16 réprime ainsi le non respect des formalités
préalables, l'article 226-17 le non respect de l'obligation de
sécurité, l'article 226-18 la collecte par un moyen
frauduleux, déloyal ou illicite, le traitement de données
à caractère personnel malgré le refus exposé pour
des raisons légitimes par la personne concernée, ainsi qu'en
matière de traitements concernant la recherche dans le domaine de la
santé le défaut d'information ou le traitement malgré
l'opposition de la personne.
L'article 226-19 réprime pour sa part le traitement de
données sensibles et de données portant sur des infractions, des
condamnations ou des mesures de sûreté, l'article 226-20 la
conservation ou le traitement d'informations sous une forme nominative
au-delà de la durée prévue -à moins que celle-ci
ait des finalités historiques, statistiques ou scientifiques-,
l'article 226-21 le détournement de finalité, l'article
226-22 le fait de porter à la connaissance d'un tiers des
informations sur la vie privée, tandis que l'article 226-24 traite
de la responsabilité des personnes morales.
Article 51 (nouveau) de la loi du 6 janvier 1978
Délit
d'entrave
Par
ailleurs, l'article 51 nouveau punit d'un an d'emprisonnement et de 15.000
euros d'amende le fait d'entraver l'action de la CNIL. Il s'agit, sous
réserve de quelques adaptations d'ordre rédactionnel, de la
reprise des dispositions de l'actuel article 43.
Sont donc réprimés :
- l'opposition d'une personne à l'exercice des missions de
contrôle de la CNIL et de ses agents ;
- le refus de communication, ou la dissimulation de documents et
renseignements utiles à l'exercice de leurs missions ;
- ainsi que la communication d'informations modifiées
postérieurement à la date de leur demande ou sous une forme non
directement accessible.
Votre commission des Lois vous propose d'adopter un
amendement tendant
à étendre la notion d'entrave à l'ensemble des missions de
la CNIL
, la référence aux articles 45 et 49 de la loi du
6 janvier 1978 n'apparaissant pas pertinente, s'agissant
respectivement des pouvoirs de sanction de la CNIL et des modalités de
coopération entre autorités de contrôle.
Article 52 (nouveau) de la loi du 6 janvier 1978
Information de la CNIL
par les juridictions
Le
projet de loi introduit enfin un mécanisme original d'information de la
CNIL par les autorités judiciaires et, le cas échéant,
d'intervention de son président ou de son représentant devant les
juridictions, qui complète l'obligation d'information du procureur de la
République par la CNIL (article 44 modifié), ainsi que la
possibilité de saisine de la juridiction en référé
(article 45 modifié).
Ce dispositif, qui n'était pas envisagé par la directive 95/46
CE, résulte d'une recommandation exprimée par la CNIL dans son
avis sur le présent projet de loi.
Ainsi, le
premier alinéa
de l'article 52 nouveau prévoit
d'abord que le
procureur de la République avise le président
de la CNIL de «
toutes les poursuites
»
relatives aux infractions prévues par les
articles 226-16 à 226-24 du code pénal,
c'est-à-dire celles relatives aux «
atteintes aux droits de
la personne résultant des fichiers ou des traitements
informatiques
». En outre, le procureur de la République
doit l'informer, le cas échéant, des suites données aux
poursuites ainsi que de la date et de l'objet de l'audience de jugement, dix
jours avant celle-ci.
Le
second alinéa
précise en outre que s'agissant de ces
affaires, la juridiction d'instruction -le magistrat instructeur ou la chambre
de l'instruction- ainsi que la juridiction de jugement peuvent appeler le
président de la CNIL ou son représentant à déposer
ses observations ou à les développer oralement à
l'audience.
Il s'agit donc de permettre à la CNIL d'avoir connaissance des suites
données à ses contrôles et donc de mieux en
apprécier la pertinence, tout en en défendant
l'opportunité.
Le rapport de M. Guy Braibant soulignait en effet les dysfonctionnements du
régime répressif français en matière de fichiers
informatiques, la grande sévérité des textes tranchant
avec la faiblesse de la jurisprudence. Ainsi, il citait les statistiques du
casier judiciaire national de 1991 à 1995, selon lesquelles seules 35
poursuites avaient abouti à des condamnations, dont une seule peine
d'emprisonnement sans sursis d'une durée de six mois.
Il déplorait de plus l'absence de politique pénale dans ce
domaine et l'insuffisance des moyens d'investigation humains et
matériels de la police judiciaire eu égard à l'ampleur de
l'activité économique liée à l'informatique, et
préconisait une action de formation spécialisée des
magistrats chargés des poursuites et des officiers de police judiciaire
saisis des plaintes des particuliers.
Votre commission des Lois vous propose d'
adopter un amendement puis
d'adopter l'article 8 ainsi modifié
.
Les traitements de données de santé
Le
domaine de la santé a été particulièrement
touché ces dernières décennies par l'automatisation du
traitement de l'information, qu'il s'agisse des soins, du soutien aux
praticiens ou de l'amélioration des politiques de santé publique
(notamment en matière d'épidémiologie) et de l'effort de
maîtrise des dépenses de soin.
On peut ainsi citer la création de la carte santé, qui constitue
le support informatique d'un véritable dossier médical portable
et se compose d'une «
carte vitale
» pour le patient
et d'une carte professionnelle de santé (CPS) destinée aux
praticiens, ainsi que la médecine à distance, par le biais de la
diffusion d'informations sur les réseaux en ligne ou de la
télé médecine. A l'hôpital, le
«
programme de médicalisation des systèmes
d'information
» permet notamment, par le recueil de
données médicales, de porter une appréciation sur la
qualité d'un établissement.
De même, les bases de données informatisées sont
désormais déterminantes pour les études
biomédicales, les travaux en matière génétique ou
le développement des produits pharmaceutiques.
Or, ces traitements de données médicales présentent des
risques au regard de la confidentialité et de la préservation de
la vie privée.
M. Guy Braibant évoquait ainsi dans son rapport au Premier ministre le
danger que représenterait un détournement à des fins
autres que celles pour lesquelles les données à caractère
personnel ont été collectées, s'inquiétant
notamment d'une éventuelle communication de certaines données de
santé à un assureur ou une banque, qui pourraient conduire
à des exclusions ou des discriminations inadmissibles.
La CNIL a pris position sur ce sujet dès 1997, par le biais d'une
recommandation
35(
*
)
par laquelle
elle soulignait notamment que les données à caractère
personnel ne devaient être utilisées que dans
l'intérêt du patient et traitées dans le respect des droits
des personnes et des règles déontologiques, ce qui excluait une
exploitation à des fins commerciales. Elle s'est également
inquiétée en mars 2001
36(
*
)
de la qualité des sites et
services destinés au public dans le domaine de l'e-santé.
Par conséquent, la loi du 6 janvier 1978 a fait l'objet, en
1994
37(
*
)
et en 1999
38(
*
)
, respectivement dans les domaines de
la recherche et de l'évaluation des pratiques de santé,
d'aménagements afin de concilier les intérêts de la
recherche et de l'économie de la santé avec la défense des
droits de la personne, en créant des régimes spécifiques.
La directive, comme la convention du 28 janvier 1981 du Conseil de l'Europe,
classe à l'article 8 les données relatives à la
santé parmi les catégories dont le traitement est en principe
interdit compte tenu du risque d'atteinte aux libertés fondamentales ou
à la vie privée. Elle prévoit néanmoins une
dérogation s'agissant des traitements nécessaires aux fins de la
médecine préventive, des diagnostics médicaux, de
l'administration des soins et de traitements ou de la gestion des service de
santé à condition qu'ils soient effectués par un
praticien de la santé -soumis au secret professionnel- «
ou
par une autre personne soumise à une obligation de secret
équivalente
».
Les régimes spécifiques insérés dans la loi par
les lois de 1994 et 1999 n'établissent pas de distinction entre
traitements publics et privés et prévoient d'ores et
déjà un régime d'autorisation. La transposition de la
directive ne requiert par conséquent que de légers
aménagements.
Article 9
(Chapitre IX de la loi n° 78-17 du 6 janvier
1978)
Adaptation du régime appliqué aux traitements
ayant
pour fin la recherche dans le domaine de la
santé
1-
L'état actuel du droit
L'article premier de la loi du 1
er
juillet 1994 relative au
traitement de données nominatives ayant pour fin la recherche dans le
domaine de la santé a donc inséré au sein de la loi de
1978 un chapitre V bis intitulé «
Traitements
automatisés de données nominatives ayant pour fin la recherche
dans le domaine de la santé
» et comportant dix articles
(articles 40-1 à 40-10).
Ce régime dérogatoire conjugue une plus grande souplesse
-certaines dispositions de la loi de 1978 comme l'information préalable
des personnes ayant fait l'objet d'un traitement n'étant pas
applicables- et un plus grand contrôle -une
autorisation par la CNIL
étant prévue pour tous les fichiers, publics ou privés,
après avis d'un comité d'experts
.
L'actuel article 40-1 prévoit que
ce régime s'applique aux
seuls fichiers, publics ou privés, ayant pour fin la recherche dans le
domaine de la santé
. Il précise donc qu'en sont exclus les
traitements de données ayant pour fin le suivi thérapeutique et
médical du patient, ainsi que ceux permettant d'effectuer des
études à partir des données recueillies, si ces
études sont réalisées par les personnels assurant ce suivi
et destinées à leur usage exclusif.
Ces traitements sont soumis à une
procédure d'autorisation
par la CNIL (article 40-2), un
Comité consultatif sur le
traitement de l'information en matière de recherche dans le domaine de
la santé
devant donner un
avis
dans le délai d'un
mois, l'avis étant à défaut réputé
favorable. En cas d'urgence, le délai peut être ramené
à quinze jours.
Ce comité est institué auprès du ministre chargé de
la santé et se compose de personnes compétentes en matière
de recherche dans le domaine de la santé, de
l'épidémiologie, de la génétique et de la
biostatistique.
Il émet son avis sur la méthodologie de la recherche, la
nécessité du recours à des données nominatives et
la pertinence de celles-ci par rapport à l'objectif de la recherche.
Une procédure simplifiée peut être mise en oeuvre par son
président.
La CNIL intervient ensuite pour délivrer l'autorisation
, dans un
délai de deux mois, renouvelable une fois.
A défaut de
décision dans ce délai, le traitement des données est
autorisé
. Il s'agit donc d'un
régime d'autorisation
tacite
.
L'article 40-3
autorise la transmission par les professionnels de
santé
des données nominatives qu'ils détiennent afin
de constituer des traitements ayant pour fin la recherche dans le domaine de la
santé.
Auparavant, l'exigence de secret professionnel ne permettait d'envisager la
transmission des informations qu'entre médecins, alors même que
l'élaboration de fichiers épidémiologiques relève
souvent de non-médecins, et que les informations nominatives
reçues ne sont exploitées qu'à des fins statistiques, et
sont indispensables à la recherche.
La loi de 1994 a donc étendu le secret professionnel aux personnes
mettant en oeuvre ces traitements, tout en exigeant que les résultats de
la recherche soient strictement anonymes et ne puissent en aucun cas permettre
l'identification directe ou indirecte des personnes concernées.
De plus, les données transmises permettant l'identification des
personnes doivent faire l'objet d'un codage, des dérogations
étant cependant prévues s'agissant de traitements associés
à des études de pharmacovigilance, de protocoles de recherches
réalisés dans le cadre d'études coopératives
nationales ou internationales, ou si une particularité de la recherche
l'exige. Elles doivent être autorisées par la CNIL.
En outre, les données transmises ne peuvent être conservées
sous une forme nominative plus longtemps que la durée nécessaire
à la recherche.
L'article 40-4 prévoit par ailleurs un
droit d'opposition
similaire à celui prévu à l'article 26 de la loi de 1978,
à ceci près que
la mention d'un motif légitime
n'apparaît pas
, afin d'éviter notamment qu'un malade ait
à justifier son refus. Par ailleurs, un consentement exprès et
éclairé doit être obtenu préalablement aux
traitements impliquant le recueil de prélèvements biologiques
identifiants. Enfin, l'utilisation des certificats médicaux, essentielle
pour la recherche, est autorisée, sauf si l'intéressé a de
son vivant exprimé son refus par écrit.
Les détenteurs du traitement ont l'
obligation d'informer
individuellement et préalablement
(article 40-5) les personnes
auprès desquelles sont recueillies les données, notamment de la
finalité du traitement, des destinataires, de l'existence d'un droit
d'accès, de rectification, d'opposition. Deux exceptions sont cependant
prévues. Ainsi, le médecin traitant peut décider en
conscience de ne pas révéler une affection grave et incurable
à l'intéressé. De même, il peut être
dérogé à cette obligation si elle se heurte à la
difficulté de retrouver les personnes. La CNIL est d'ailleurs
appelée à se prononcer sur l'opportunité de ces
dérogations.
L'article 40-6 prévoit en outre que le droit d'opposition et à
l'information préalable est actionné par les titulaires de
l'autorité parentale s'agissant des mineurs et par le tuteur s'agissant
des personnes faisant l'objet d'une mesure de protection légale.
L'article 40-7 précise qu'une information sur ce régime doit
être disponible dans les établissements de santé.
Il est en outre prévu que la violation de la loi entraîne le
retrait temporaire ou définitif de l'autorisation délivrée
par la CNIL, ainsi que le refus de se soumettre au contrôle de la CNIL
(article 40-8).
En matière de
flux transfrontières
, l'article 40-9
précise que la transmission des données nominatives non
codées de recherche en santé n'est autorisée que si la
législation de l'Etat destinataire apporte une
«
protection équivalente
à la loi
française
», cette appréciation relevant de la
compétence de la CNIL.
L'article 40-10 prévoit en outre un décret d'application.
2- Les modifications proposées par le présent article
Le projet de loi procède tout d'abord à des
aménagements purement techniques
.
Ainsi, le paragraphe I du présent article change la numérotation
du chapitre -le V bis devenant le IX- et son intitulé afin de faire
référence aux données à caractère personnel.
Le paragraphe II modifie la numérotation des articles -les articles 40-1
à 40-8 devenant les articles 53 à 60-. L'Assemblée
nationale a en outre, à l'initiative du rapporteur et avec l'avis
favorable du Gouvernement, rectifié une erreur de numérotation et
opéré dans ses 1°, 2°, 3°, 5°, 7° et
9° des coordinations avec le nouveau dispositif du projet de loi.
Par ailleurs, la référence au droit d'opposition
discrétionnaire à un traitement disparaît du 6°.
Néanmoins, est désormais prévu un droit d'opposition
à la transmission de données, en amont du traitement. Les
personnes peuvent donc s'opposer à ce que les données les
concernant fassent l'objet de la levée du secret professionnel
nécessaire à la transmission de données pour
élaborer des traitements à des fins de recherche.
Le 8° améliore la rédaction de la loi de 1994, qui traitait
de l'information du tuteur des personnes faisant l'objet d'une mesure de
protection légale, alors même que ces mesures recouvrent
également le placement sous sauvegarde de justice. Le champ du nouvel
article est donc circonscrit à la seule tutelle,
l'intéressé étant lui-même destinataire de
l'information préalable dans les autres cas.
Enfin, le paragraphe III abroge l'actuel article 40-9 relatif aux flux
transfrontières de données, transposé dans un nouvel
article 61, ainsi que l'article 40-10 prévoyant un décret en
Conseil d'Etat relatif aux modalités d'application du chapitre V bis.
En outre, le projet de loi apporte également des
modifications de
fond
.
Le 4° du paragraphe II de l'article 9 du projet de loi modifie
l'article 40-2 de la loi qui devient l'article 54 nouveau afin de
préciser la procédure simplifiée déjà
prévue actuellement et laissée à l'appréciation du
président du comité consultatif.
Elle est donc susceptible de s'appliquer aux catégories les plus
usuelles de traitements ayant pour finalité la recherche en santé
et portant sur des données ne permettant pas une identification directe
des personnes concernées.
Cette procédure s'inspire de celle des normes simplifiées
prévue pour le régime général par l'article 17 de
la loi de 1978 et reprise à l'article 24 modifié de la
loi. Elle doit alléger l'activité de la CNIL dans le domaine des
essais cliniques de nouveaux médicaments. La CNIL pourra ainsi
«
homologuer et publier des méthodologies de
référence
» établies en concertation avec le
comité consultatif et «
les organismes publics et
privés représentatifs
», au nombre desquels
pourrait d'ailleurs figurer l'INSERM, réunis en fonction de leur domaine
de compétence respectif. Ces méthodologies devront fixer les
bornes pour chaque type de traitements pouvant faire l'objet d'une
procédure simplifiée.
S'agissant de traitements correspondant à ces normes, un engagement de
conformité à l'une d'entre elles devra être envoyé
à la CNIL. Son président décidera alors de les autoriser
à l'issue de cette procédure simplifiée d'examen.
Le projet de loi initial prévoyait un envoi au comité consultatif
avant la CNIL, mais cette procédure a été supprimée
par l'Assemblée nationale à l'initiative de
M. Gérard Gouzes, rapporteur, et avec l'avis favorable du
Gouvernement. Ceci devrait permettre d'accélérer la
procédure, d'autant plus que les méthodologies auront
été élaborées par la CNIL en concertation avec le
comité consultatif.
Actuellement, la CNIL doit se prononcer dans les deux mois, le défaut
d'avis étant apparenté à une autorisation tacite.
Désormais, l'autorisation devra être délivrée dans
les conditions prévues par l'article 25 modifié et devra donc
être expresse. En effet, les données de santé constituent
des données sensibles nécessitant une autorisation expresse de la
CNIL.
Toujours à l'initiative du rapporteur, et avec l'avis favorable du
Gouvernement, l'Assemblée nationale a précisé que,
s'agissant des autres catégories de traitements, le comité
consultatif fixerait, en concertation avec la CNIL, les conditions dans
lesquelles son avis n'est pas requis
. Ceci reflète une fois encore
une volonté de simplification et d'allègement des
procédures que votre commission des Lois ne peut qu'approuver.
En effet, la saisine du comité consultatif allonge les délais de
manière disproportionnée, cette procédure s'appliquant
potentiellement à l'ensemble des recherches biomédicales (environ
2.000 protocoles par an) ainsi qu'à toutes les études
épidémiologiques, du secteur privé et du secteur public,
soit plusieurs milliers de protocoles par an.
Sur le fond, l'intervention n'apparaît pas indispensable dans la plupart
des cas, les recherches étant souvent standardisées et ayant
déjà fait l'objet d'avis d'autres instances scientifiques
consultatives, de procédures de validation et d'expertises scientifiques.
En outre, cet amendement a permis de clarifier la notion de
«
projet de recherche
», le comité se
contentant d'indiquer si son avis est favorable ou défavorable, ou si le
projet constitue ou non un projet de recherche, sans en préciser les
critères.
Enfin, le paragraphe IV modifie le
régime des transmissions des
données à l'étranger
actuellement prévu par
l'article 40-9 de la loi de 1978 en créant un chapitre XII
consacré aux
« Transferts de données à
caractère personnel vers des Etats n'appartenant pas à la
Communauté européenne
» comprenant un nouvel
article 61.
Actuellement, l'article 40-9 vise la notion de
«
protection
équivalente
à la loi
française
», sans différencier entre Etats
membres ou non de l'Union européenne.
L'article 25 de la directive conditionnant la possibilité d'un transfert
au «
niveau de protection suffisant
de la vie
privée et des libertés et droits fondamentaux des personnes
à l'égard du traitement envisagé
»
assuré par le pays destinataire, le nouvel article 61 en tire la
conséquence.
Aucune limitation ne doit plus pouvoir être fixée aux transferts
entre Etats membres de la Communauté, en raison du principe de libre
circulation des données posé par l'article premier de la
directive. L'effet direct vertical des directives doit de plus permettre aux
justiciables d'obtenir devant leur juge national l'application des dispositions
de la directive, même en cas d'absence de transposition ou de
transposition lacunaire de la part des Etats membres.
L'appréciation du niveau de protection offert par un Etat tiers
s'apprécie au regard des règles fixées au
chapitre XII.
Votre commission des Lois vous propose d'
adopter l'article 9 sans
modification
.
Article 10
(Chapitre X de la loi n° 78-17 du 6 janvier
1978)
Adaptation des dispositions relatives aux traitements des
données
à des fins d'évaluation des pratiques de
santé
La mise
en place du programme de médicalisation des systèmes
d'information dans les établissements de soins a fait apparaître
le risque de reconstituer par recoupements, grâce aux
résumés de sortie anonymes établis pour chaque
établissement -destinés à l'analyse de ses
activités-, la nature de la pathologie ainsi que les examens subis par
un patient à partir de sa seule date d'hospitalisation.
La loi du 27 juillet 1999 relative à la couverture maladie universelle a
donc inséré un nouveau chapitre (V ter) dans la loi du 6 janvier
1978 comportant cinq articles (articles 40-11 à 40-15) et
déterminant les conditions dans lesquelles les données à
caractère personnel de santé peuvent être traitées,
exploitées et diffusées «
à des fins
d'évaluation ou d'analyse des autorités de soins et de
prévention
».
1- Etat actuel du droit
Sont concernés par ce régime les traitements de données
à caractère personnel de santé ayant pour fin
«
l'évaluation des pratiques de soins et de
prévention
», à l'exclusion des traitements
effectués par les organismes d'assurance maladie à des fins de
remboursement ou de contrôle ou encore par les établissements de
santé pour l'analyse de leur activité (article 40-11).
L'article 40-12 précise les conditions dans lesquelles des
données de santé peuvent être transmises par les
professionnels de santé, les caisses de sécurité sociale
ou les hôpitaux pour être exploitées à des fins
d'évaluation des activités ou pratiques de soins. Elles doivent
être agrégées ou constituées de manière
à rendre l'identification des personnes concernées impossible.
La CNIL peut néanmoins autoriser d'autres communications à
condition que les données ne soient qu'indirectement nominatives,
c'est-à-dire qu'elles ne comportent ni le nom, ni le prénom d'une
personne, ni son numéro d'inscription au répertoire national
d'identification des personnes physiques.
S'agissant des formalités préalables à l'autorisation,
l'article 40-13 prévoit que la CNIL vérifie les
«
garanties présentées par le
demandeur
», ses finalités, les techniques
utilisées, la pertinence du traitement envisagé, la
nécessité de recourir à ces informations, et le cas
échéant la conformité de sa demande à ses missions
ou à son objet social. Si elle n'est pas satisfaite des garanties
apportées, elle peut interdire la communication de certaines
informations. La CNIL détermine également la durée de
conservation des données et apprécie les mesures de
sécurité prises.
L'article 40-14 prévoit ensuite un régime d'autorisation expresse
de la CNIL pour toutes les catégories de traitements -publics ou
privés- dans ce domaine.
Alors que la loi de 1994 prévoyait une autorisation tacite
s'agissant des traitements à des fins de recherche, une décision
du Conseil constitutionnel
39(
*
)
intervenue entre-temps a conduit le législateur à requérir
une
autorisation expresse
. La CNIL dispose d'un délai de deux
mois à compter de la saisine par le demandeur pour se prononcer
(renouvelable une fois), le silence valant donc décision de rejet.
Par mesure de simplification, les traitements répondant à une
même finalité portant sur des catégories de données
identiques et ayant des destinataires ou des catégories de destinataires
identiques peuvent faire l'objet d'une décision unique de la CNIL.
L'article 40-15 ajoute des règles diverses : les traitements
effectués à partir des données ne peuvent servir à
des fins de recherche ou d'identification des personnes et les intervenants
ayant accès aux données ainsi communiquées sont astreints
au secret professionnel. Les résultats des traitements ne peuvent
être communiqués, publiés ou diffusés qu'à la
condition que l'identification des personnes correspondant aux données
en cause soit impossible.
2- Le projet de loi
De telles dispositions anticipant donc les prescriptions prévues par la
directive en matière de données sensibles, le présent
projet de loi ne procède qu'à des aménagements de
forme :
- en modifiant le numéro du chapitre (IX au lieu de V ter) et son
titre afin de faire référence aux données de santé
à caractère personnel et à l'analyse des
«
pratiques
», qui indique mieux le champ
d'application du dispositif (I) ;
- en procédant à une nouvelle numérotation des
articles (les articles 40-11 à 40-15 devenant les articles 62
à 66) et en opérant des modifications de terminologie, ainsi que
la rectification d'une référence à un article du code de
la santé publique (II, 1° et 2°) ;
- en supprimant la mention du renvoi à un décret du Conseil
d'Etat pour des modalités d'application, ces dispositions étant
reprises de façon générale à l'article 13 du projet
de loi (II, 3°) ;
- en procédant à une modification formelle au sein de l'article
40-15 pour supprimer la référence à la notion de
résultats «
nominatifs
» (II, 4°).
Votre commission des Lois vous propose d'
adopter l'article 10 sans
modification
.
Article 11
(Chapitre XI de la loi n° 78-17 du 6 janvier
1978)
Traitements de données aux fins de journalisme
et
d'expression littéraire et artistique
La
conciliation entre la protection de la vie privée et celle de la
liberté d'expression, essentielle dans un Etat démocratique,
s'avère particulièrement délicate.
Par conséquent, l'article 33 de la loi du 6 janvier 1978 écarte
l'application aux organismes de la presse écrite ou audiovisuelle des
dispositions des articles 24 (relatif aux conditions de transmission
d'informations nominatives à l'étranger), 30 (interdisant la mise
en oeuvre de traitements concernant des données portant sur les
infractions, condamnations et mesures de sûreté aux personnes
morales de droit privé ne gérant pas un service public) et 31
(relatif à la gestion des données sensibles, c'est-à-dire
portant sur l'origine raciale, l'opinion politique, philosophique ou
religieuse, l'appartenance syndicale ou les moeurs), dans les cas où
leur application aurait pour effet de limiter l'exercice de la liberté
d'expression.
Or, depuis 1978, le secteur de la presse a vu ses modes de gestion
profondément bouleversés, notamment avec l'apparition de sites
Internet dits « compagnons » chargés de
fidéliser les lecteurs ou téléspectateurs.
Partant du constat de lacunes du droit existant, la CNIL a, dès 1995,
édicté une recommandation
40(
*
)
dans laquelle elle considérait
tout d'abord que «
la collecte, l'enregistrement et
l'élaboration d'informations sont inhérents à l'exercice
de la liberté de la presse et que parmi ces informations ont toujours
figuré des données directement ou indirectement
nominatives
».
Elle considérait néanmoins que «
le recours,
même à des fins exclusivement journalistiques et
rédactionnelles, à des traitements automatisés
d'informations nominatives ne dispensait pas les organismes de presse de
respecter les dispositions non expressément écartées par
le législateur
».
Elle a cependant reconnu que les activités journalistiques et
rédactionnelles ne pouvaient être soumises à autorisation,
et que le droit d'accès aux documents élaborés par un
journaliste, mais non encore publiés ou diffusés, ainsi que le
droit de rectification subséquent ne pouvaient aboutir
«
à priver de sa substance la
liberté de la
presse et de la communication, inscrite dans les lois du 29 juillet 1881 et du
29 juillet 1982
».
La CNIL avait donc conclu à l'existence de «
certains
problèmes de compatibilité
» entre la loi du 6
janvier 1978 et ces lois, et avait formulé plusieurs
préconisations afin :
- d'assurer la sécurité des informations
traitées ;
- de joindre les recours, rectifications ou réponses
éventuellement intervenus à la publication de l'information ;
- d'encourager la désignation d'un correspondant de la CNIL dans
chaque organisme de presse.
Ce texte était cependant dépourvu de valeur contraignante.
La
directive
reprend en grande partie ces recommandations puisque son
article 9
précise que «
les Etats membres
prévoient, pour les traitements de données à
caractère personnel effectués aux seules fins de journalisme ou
d'expression artistique ou littéraire, des exemptions et
dérogations
» à certaines dispositions
«
dans la seule mesure où elles s'avèrent
nécessaires pour concilier le droit à la vie privée avec
les règles régissant la liberté
d'expression
».
Comme la loi du 6 janvier 1978, la directive soumet donc la presse aux
règles relatives à la protection des données à
caractère personnel tout en prévoyant des dérogations dans
l'intérêt de la liberté d'expression.
La négociation de la directive avait été houleuse, et des
divergences notables sont apparues lors de sa transposition par les
différents Etats membres
41(
*
)
.
Comme l'a indiqué la recommandation du groupe de protection des
données, elle concerne toutes les formes de médias, y compris la
presse électronique.
Il est en outre précisé que les dérogations
ne
concernent que l'activité éditoriale
et se limitent aux
dispositions des chapitres II, IV et VI (relatifs respectivement à la
licéité des traitements, aux flux transfrontières de
données et aux autorités de contrôle nationales), à
l'exclusion, selon le considérant 37, des mesures de
sécurité.
Ce même considérant faisait en effet
référence
à l'article 10 de la convention européenne de sauvegarde des
droits de l'homme
et des libertés fondamentales. Il appelait
néanmoins les Etats membres à conférer aux
autorités de contrôle nationales certaines compétences
a
posteriori
comme la publication périodique de rapports ou le pouvoir
de saisir les autorités judiciaires.
Le considérant 49 et le point 2 de l'article 18 de la
directive prévoyaient
la possibilité d'exonérations ou
de simplifications de notification dès lors qu'une personne
désignée par le responsable du traitement de données
s'assurait que les traitements effectués n'étaient pas
susceptibles de porter atteinte aux droits et libertés
des personnes
concernées et que cette personne, employée ou non du responsable
du traitement, était en mesure d'exercer ses fonctions en toute
indépendance.
Le
rapport de M. Guy Braibant
préconisait de conserver les
dérogations prévues par la loi du 6 janvier 1978 s'agissant des
données sensibles, en rappelant que la presse en traitait abondamment,
et que le droit français en matière de presse comportait
déjà des mesures protectrices des droits de la personne par le
biais du respect de la vie privée et du droit à l'image et de
procédures spécifiques telles que le droit de réponse.
Il préconisait également le
statu quo
s'agissant des flux
transfrontières, afin de ne pas défavoriser la presse
française par rapport à ses concurrents, ainsi que
d'éviter toute procédure qui rappellerait les autorisations
préalables et la censure du régime antérieur à la
reconnaissance de la liberté de la presse.
Enfin, il souhaitait qu'un
détaché à la protection des
données à caractère personnel
soit
désigné par le responsable du traitement et soit chargé
notamment d'assurer d'une manière indépendante l'application
interne des dispositions nationales prises en application de la
directive et de tenir un registre des traitements. Il considérait
qu'il ne devrait pas être un simple correspondant de la CNIL, mais
devrait exercer par une délégation implicite certains des
pouvoirs de contrôle de la CNIL et avoir un statut analogue à
celui du médiateur que certains journaux avaient déjà
institué.
Par ailleurs, le rapport de M. Guy Braibant soulignait l'intérêt
des codes de conduite prévus à l'article 28 de la directive.
Le
projet de loi
s'inspire donc tant des exonérations permises
par la directive que des recommandations de la CNIL et de celles du rapport de
M. Guy Braibant.
Il instaure un article 67 au sein d'un nouveau chapitre XI
«
Traitements de données à caractère
personnel aux fins de journalisme et d'expression
littéraire et
artistique
».
Les traitements de données à caractère personnel
mis en
oeuvre aux seules fins d'expression littéraire et artistique et
d'exercice, à titre professionnel, de l'activité de
journaliste
, dans le respect des règles déontologiques de
cette profession, ne sont
pas soumis
:
-
à la limitation de durée de conservation
prévue par le 5° de l'article 6 modifié qui indique que
les données ne peuvent être conservées sous une forme
permettant l'identification des personnes que pendant une durée
n'excédant pas celle nécessaire aux finalités pour
lesquelles elles sont collectées et traitées. En effet, la notion
même de journalisme implique de pouvoir replacer des informations dans un
contexte et les fichiers de presse ont souvent des finalités
imprévisibles au départ, puisqu'ils servent de base au travail
des journalistes, très dépendant de l'actualité ;
-
à l'interdiction de traiter des données dites
sensibles
, le journalisme pouvant amener à faire apparaître
les origines raciales ou ethniques, les opinions politiques, philosophiques ou
religieuses ou l'appartenance syndicale des personnes, ou celles relatives
à leur santé ou leur orientation sexuelle (article 8
modifié) ;
-
à l'interdiction
faite aux personnes autres que les
auxiliaires de justice, les juridictions, les autorités publiques et les
personnes morales de droit privé gérant un service public
de
traiter des informations relatives aux infractions
, condamnations et
mesures de sûreté (article 9 modifié) ;
Ces deux dernières dérogations sont déjà
prévues actuellement.
-
à l'obligation de déclaration
applicable aux
traitements non soumis à un contrôle préalable (article 22
modifié) ;
-
aux obligations d'information
incombant aux responsables de
traitements (article 32 modifié) ;
-
aux droits d'accès et de rectification
prévus par
les articles 39 et 40 modifiés pour les personnes concernées
par les traitements. En effet, la phase antérieure à la
publication doit être complètement libre, la contrepartie
consistant dans le droit de réponse prévu ;
-
aux transmissions de données à des Etats tiers
(articles 68 à 70 nouveaux).
Cette possibilité de dérogations au profit des traitements
d'expression littéraire et artistique
a été
instaurée à l'initiative de la directive. En effet, ainsi que le
soulignait M. Guy Braibant, il est parfois difficile de distinguer entre
journalisme et expression artistique ou littéraire «
avec
le développement de l'histoire immédiate, du journalisme
d'investigation, des réseaux multimédias. Il n'y a guère
de différence entre un journaliste qui prépare une série
d'articles sur une personnalité politique, sur un parti, sur un segment
de population et celui qui envisage sur le même sujet la
réalisation d'un livre que les moyens de reproduction ou de diffusion
permettront de mettre en quelques jours à la disposition du public. De
même, on peut rapprocher la publication de photographies dans un magazine
et dans un album
».
En outre, ces dérogations ne concernent s'agissant du journalisme que
les
seules activités éditoriales de nature journalistique
-et non le statut de journaliste-, les traitements de nature commerciale ou
de gestion interne (fichiers de personnel ou de clients, traitements à
des fins de prospection) relevant du droit commun.
Votre commission des Lois vous propose d'adopter un
amendement
rendant
effectives les deux dérogations à l'interdiction de traitement
des données sensibles énoncée par l'article 8
modifié ainsi qu'à l'interdiction de traitement des
données relatives aux infractions, condamnations et mesures de
sûreté résultant pour eux de l'article 9 modifié.
En son absence, les traitements de données sensibles et ceux relatifs
aux infractions, condamnations ou mesures de sûreté seraient
soumis à une autorisation de la CNIL et conduiraient donc à un
régime beaucoup moins libéral qu'actuellement.
Conformément à la recommandation de la CNIL, la dispense de
l'obligation de déclaration des traitements à des fins
journalistiques est subordonnée à la désignation au sein
de l'organe de presse d'un «
délégué
à la protection des données
» chargé de
tenir un registre des traitements et d'assurer de manière
indépendante l'application de la loi. La CNIL devra être
informée de cette désignation.
Rappelons que la directive subordonne de manière générale,
dans son article 18, les possibilités de simplification et d'exemption
à la nomination par les responsables de traitements de
«
détachés à la protection des
données
».
A l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis
favorable du Gouvernement, l'Assemblée nationale a modifié le
terme de «
délégué
» en celui
de «
correspondant
», estimant que ce terme pouvait
laisser penser qu'il s'agissait de personnes dépendant de la CNIL.
En outre, le dernier alinéa de l'article 67 nouveau rappelle la mention
existant dans la loi du 6 janvier 1978. Demeurent applicables les dispositions
du code civil, du code pénal et des lois relatives à la presse
écrite et audiovisuelle ayant pour objet le respect de la vie
privée, ainsi que la protection des personnes contre les atteintes
à leur réputation, notamment par le biais de droits de
réponse.
Enfin, la possibilité, prévue par le 2°) de l'article 11
modifié de la loi de 1978, d'élaboration par les professionnels
eux-mêmes de codes de conduite ensuite soumis pour avis à la CNIL
pourrait trouver à s'appliquer dans le domaine de la presse.
Votre commission des Lois vous propose
d'adopter un amendement, puis
d'adopter l'article 11 ainsi modifié
.
Article 12
(Chapitre XII de la loi n° 78-17 du 6 janvier
1978)
Transferts de données à caractère personnel vers
des Etats tiers
Dès 1978, il est apparu nécessaire de prendre en
considération les échanges internationaux d'informations
nominatives.
Ainsi, la loi du 6 janvier 1978 comporte un certain nombre de dispositions y
faisant référence. Dès l'article premier, il est
précisé que le développement de l'informatique
«
doit s'opérer dans le cadre de la coopération
internationale
». L'article 24 prévoit en outre la
possibilité de réglementer ou soumettre à autorisation
préalable certains transferts d'informations nominatives
«
vers l'étranger
» réalisés
par des personnes privées, sur proposition ou après avis de la
CNIL, selon des modalités prévues par un décret en Conseil
d'Etat qui n'est en fait jamais intervenu.
En matière de droit international public, l'article 12 de la convention
du Conseil de l'Europe du 28 janvier 1981, entrée en vigueur en France
le 1
er
octobre 1985, traite des «
transferts
à travers les frontières nationales
».
Tout en affirmant que la protection de la vie privée ne peut motiver
à elle seule l'interdiction de tels transferts ou leur soumission
à autorisation, la convention autorise une réglementation
spécifique pour certaines catégories de fichiers et de
données, sauf si la réglementation de l'autre partie apporte une
«
protection équivalente
», ou si le
transfert par son territoire ne se fait qu'à titre de transit vers un
Etat non contractant.
Par ailleurs, en 1994, le transfert de données nominatives non
codées faisant l'objet d'un traitement automatisé ayant pour fin
la recherche dans le domaine de la santé a été
subordonné par la loi n° 94-548 du 1
er
juillet
1994 à la garantie dans le pays de destination d'un niveau de protection
«
équivalent
» à celui offert par la
loi française (article 40-9 de la loi du 6 janvier 1978).
Ces dispositions paraissent néanmoins aujourd'hui insuffisantes.
Depuis 1978, la mondialisation des échanges informatiques a connu une
extension fulgurante, notamment du fait du développement d'Internet et
de la commercialisation croissante des données. Le rapport de M. Guy
Braibant au Premier ministre soulignait donc l'inutilité de
démarches purement nationales afin de protéger les données
personnelles, ainsi que le risque de développement de
« paradis informatiques »
.
De plus, la loi de 1978 ne distingue pas entre les transferts à
destination d'Etats membres de l'Union européenne et ceux à
destination d'Etats tiers, alors même que le principe de libre
circulation à l'intérieur de l'Union européenne constitue
un principe fondateur de la construction communautaire.
La directive prévoit d'ailleurs dès son article premier que les
Etats membres ne peuvent arguer de la protection des libertés et droits
fondamentaux des personnes physiques afin de restreindre ou d'interdire la
libre circulation des données à caractère personnel entre
Etats membres.
En effet, à partir de la date butoir à laquelle la directive doit
avoir été correctement transposée par tous les Etats
membres -en l'espèce le 24 octobre 1998- tous les Etats membres sont
censés garantir une protection équivalente.
Le considérant 56 de la directive précise également que
les flux transfrontières de données à caractère
personnel sont nécessaires au développement du commerce
international.
Le projet de loi crée donc un chapitre XII intitulé :
«
Transferts de données à caractère personnel
vers des Etats n'appartenant pas à la Communauté
européenne
» comprenant trois articles nouveaux 68
à 70.
Article 68 (nouveau) de la loi du 6 janvier 1978
Exigence d'un niveau de
protection
« suffisant »
Le
premier alinéa de cet article prévoit que le responsable d'un
traitement ne pourra transférer des données à
caractère personnel
vers un Etat tiers que si celui-ci assure un
niveau de protection « suffisant »
de la vie
privée et des libertés et droits fondamentaux des personnes.
Il s'agit de la transposition en droit français du premier alinéa
de l'article 25 de la directive, ainsi que du considérant 56.
Cependant, la directive fait référence à un niveau de
protection «
adéquat
» et non pas
«
suffisant
». Le Gouvernement estime
néanmoins que ces termes offrent des garanties équivalentes et
que le terme «
suffisant
» est moins ambigu et donc
moins susceptible de provoquer des difficultés d'interprétation.
S'agissant du transfert de données ayant pour fin la recherche dans le
domaine de la santé, l'article 40-9 de la loi du 6 janvier 1978 exige
actuellement un niveau de protection
«
équivalent
». Ainsi que nous l'avons vu
à l'article 9 du projet de loi, l'article 40-9 est remplacé par
un nouvel article 61 qui soumet désormais ces transferts au
régime général et donc simplement à l'exigence
d'une protection suffisante.
Le rapport de M. Guy Braibant préconisait pourtant un maintien de la
législation actuelle et rappelait que les dispositions concernant les
traitements en matière de recherche de santé étaient
récentes.
Le second alinéa de cet article précise les critères
à partir desquels sera apprécié le caractère
suffisant du niveau de protection de l'Etat destinataire. Seront prises en
compte notamment les dispositions en vigueur dans cet Etat, les mesures de
sécurité prévues, les caractéristiques propres du
traitement (notamment ses fins et sa durée) ainsi que la nature,
l'origine et la destination des données traitées.
Article 69 (nouveau) de la loi du 6 janvier
1978
Dérogations
Le
nouvel article 69 prévoit des exceptions à la règle
prévue à l'article 68.
1- Conformément au
point 1 de l'article 26 de la directive
, il
permet certaines dérogations à l'interdiction de procéder
à des transferts en l'absence de garantie suffisante :
a- si la personne à laquelle se rapportent les données y a
expressément consenti
.
Le projet de loi initial prévoyait un consentement sans autre
précision, alors même que la directive exigeait un consentement
indubitable.
Rappelant que la notion de «
consentement
exprès
» figurait déjà dans le projet de loi
s'agissant des données sensibles pour transposer la notion de
«
consentement explicite
» prévue par la
directive et que la CNIL avait, dans son avis rendu en septembre 2000,
insisté sur cette difficulté en préconisant une
harmonisation complète entre les Etats membres, l'Assemblée
nationale a adopté à l'initiative de son rapporteur,
M. Gérard Gouzes, et avec l'avis favorable du Gouvernement, un
amendement précisant que ce consentement doit être
exprès ;
b-
lorsque le transfert est nécessaire
:
- à la sauvegarde de la vie de la personne concernée ;
- ou à la sauvegarde d'un intérêt public ; le
considérant 58 de la directive citait à ce sujet l'exemple
d'échanges internationaux de données entre les administrations
fiscales ou douanières ou entre les services compétents en
matière de sécurité sociale ;
- ou au respect d'obligations permettant la constatation, l'exercice ou la
défense d'un droit en justice ;
- ou à la consultation de certains registres publics ; le
considérant précisait que lorsque le transfert était
effectué à partir d'un registre établi par la loi et
destiné à être consulté par des personnes ayant un
intérêt légitime, il ne devait pouvoir être
effectué qu'à la demande de ces personnes ou lorsqu'elles en
étaient les destinataires ;
- ou à la conclusion ou l'exécution d'un contrat conclu ou
à conclure.
L'Assemblée nationale a également adopté à
l'initiative du rapporteur et avec l'avis favorable du Gouvernement un
amendement rédactionnel.
2- En raison des garanties présentées par le traitement
En outre, l'article 69 transpose la possibilité prévue par
l'article 26-2 de la directive d'autoriser les transferts
lorsque le
traitement lui-même garantit un niveau de protection suffisant de la vie
privée et des libertés et droits des personnes
,
notamment
en raison des clauses contractuelles
dont il fait l'objet.
Une décision de la Commission européenne du 15 juin 2001, prise
pour l'application de l'article 26-2 de la directive et «
relative
aux clauses contractuelles types pour le transfert de données à
caractère personnel vers des pays tiers
», en vigueur
depuis le 3 septembre 2001, reproduit en annexe les clauses contractuelles
types considérées comme offrant des garanties suffisantes.
En application du point 4 de l'article 26 de la directive, la CNIL devra donc
désormais se conformer à cette décision.
Votre commission des Lois vous propose d'adopter un
amendement
prévoyant que
la garantie d'un niveau de protection suffisant peut
également être apportée par l'édiction de
règles internes
aux entreprises
en ce sens, qui simplifierait
les modes de gestion interne de grandes multinationales,
particulièrement concernées par ces transferts.
Par ailleurs, la directive laissant les Etats membres libres de la
procédure à suivre, le projet de loi prévoit en principe
que
l'autorisation émane de la CNIL
.
Néanmoins, s'agissant des traitements de souveraineté mis en
oeuvre pour le compte de l'Etat et intéressant la sûreté,
la défense, la sécurité publique ou la répression
pénale (prévus au I de l'article 26 modifié), ou
comportant des indications relatives à l'origine raciale, aux opinions
ou à l'appartenance syndicale, à la santé ou à
l'orientation sexuelle des personnes (prévus au II de l'article 26),
l'autorisation est prise par décret en Conseil d'Etat après avis
motivé et publié de la CNIL.
Ces possibilités de dérogations offrent une souplesse
indispensable permettant d'assurer dans de bonnes conditions les
nécessaires transferts entre l'Union européenne et les nombreux
pays tiers n'assurant pas un degré de protection suffisant, et
répondent à des recommandations récurrentes de la CNIL.
Article 70 (nouveau) de la loi du 6 janvier 1978
Modalités
d'appréciation des niveaux de
protection
Cet
article transpose les paragraphes 3 à 6 de l'article 25 de la directive,
ainsi que les paragraphes 3 et 4 de son article 26, qui fixent les
procédures de détermination du niveau de protection offert par
les Etats tiers.
Il prévoit une coopération entre les Etats membres et la
Commission européenne, qui est prévenue des décisions
opérées par les Etats membres et peut édicter des mesures
qui s'imposent à eux.
La directive ne précisait pas quelle devait être l'autorité
chargée de déterminer si le niveau de protection était
adéquat (article 25) et, s'il s'avérait insuffisant, de
délivrer des dérogations en vertu de l'article 26-2.
Deux solutions étaient envisageables : une autorité
gouvernementale ou l'institution de contrôle.
En effet, les appréciations sur les régimes étrangers et
l'établissement de listes « blanches » ou
« noires » peuvent affecter les relations internationales
de la France, et le comité communautaire « de
l'article 31 » contrôlant le système est
composé des représentants des Etats.
Néanmoins, l'autorité de contrôle possède
l'expertise et l'expérience requises et permet de dépolitiser les
décisions prises. L'article 19, paragraphe 1,e) de la directive
prévoit déjà qu'elle est informée par le biais des
déclarations de traitements des transferts de données
envisagés vers des pays tiers.
Le rapport de M. Guy Braibant soulignait cependant que l'autorité de
contrôle ne pourrait matériellement autoriser tous les transferts
et préconisait, en dehors des autorisations prévues par les
articles 20 et 26-2, la vérification des déclarations comportant,
conformément à l'article 19, e), des indications sur des flux
transfrontaliers éventuels. La CNIL pourrait ainsi différer la
délivrance du récépissé en cas de doute sur le
niveau de protection offert par le pays destinataire ou sur la validité
de la dérogation invoquée, et le cas échéant
opposer un refus motivé au déclarant.
Par ailleurs, la CNIL est tenue de porter à la connaissance de la
Commission européenne et des autorités de contrôle des
autres Etats membres les décisions d'autorisation qu'elle accorde. Cette
notification ne s'étend pas aux autorisations délivrées
par décret en Conseil d'Etat.
En cas de contestation d'une dérogation par un autre Etat membre ou la
Commission européenne, le différend est porté devant le
«
comité de l'article 31
» qui émet un
avis, après quoi la Commission des Communautés européennes
statue, en application de l'article 26, point 3 de la directive. Si ses
conclusions ne sont pas conformes à celles du comité, elles sont
transmises au Conseil qui statue dans les trois mois, la Commission suspendant
l'application de ses mesures pendant ce délai (article 31 de la
directive).
En cas de constatation par la Commission européenne de l'insuffisance du
niveau de protection d'un pays tiers, la CNIL, saisie d'une déclaration
de traitement faisant apparaître la possibilité d'un transfert
vers cet Etat, délivre le récépissé tout en
interdisant de procéder au transfert.
En l'absence de décision de la Commission européenne et si la
CNIL estime insuffisantes les garanties apportées par un Etat tiers pour
une catégorie de transfert, elle en informe sans délai la
Commission européenne et délivre un
récépissé enjoignant le cas échéant au
déclarant de suspendre ce transfert dans l'attente de la décision
de la Commission européenne. Si celle-ci considère le niveau de
protection comme suffisant, elle notifie au responsable du traitement la
cessation de cette suspension. Dans le cas contraire, elle lui notifie une
interdiction de procéder au transfert des données.
La CNIL se voit donc reconnaître une responsabilité importante. Si
les décisions de la Commission européenne l'emportent sur celles
des autorités nationales, les Etats membres sont directement
associés à leur élaboration et le Conseil conserve la
capacité, le cas échéant, de les infirmer, ainsi que le
précise l'article 31 de la directive.
Actuellement, le nombre d'Etats disposant de législations de protection
des données à caractère personnel reste restreint.
Néanmoins, des avancées notables sont perceptibles. Ainsi,
après quatre ans de négociations, l'accord du 26 juillet 2000
conclu avec les Etats-Unis a permis de reconnaître comme assurant un
niveau de protection adéquat pour le transfert des données
à caractère personnel les principes de la
«
sphère de sécurité
»
(traduction de «
safe harbor
») relatifs à la
protection de la vie privée publiés par le ministère
américain du commerce. Cette décision ne concerne cependant que
les transferts de données vers les entreprises et les organisations
adhérant volontairement aux principes de la sphère de
sécurité.
La Commission a également adopté des décisions similaires
à l'égard de la Suisse et de la Hongrie, et des
négociations sont engagées avec le Canada, l'Australie et Hong
Kong.
La publicité de ces décisions devrait être assurée
par la CNIL sur son site ainsi que le propose votre commission des Lois.
Il faut néanmoins reconnaître que ces reconnaissances ne devraient
dans un premier temps concerner qu'un nombre limité de pays. La
possibilité de dérogations ouverte par l'article 25-2 de la
directive, lorsque les traitements présentent les garanties requises du
fait de leurs clauses contractuelles, conserve donc tout son
intérêt.
Votre commission des Lois vous propose d'
adopter un amendement, puis
d'adopter l'article 12 ainsi modifié
.
Article 13
(Chapitre XIII de la loi n°78-17 du 6 janvier
1978)
Conditions et champ d'application de la
loi
Cet article insère deux nouveaux articles dans la loi du 6 janvier 1978.
Article
71 (nouveau) de la loi du 6 janvier 1978
Décret en Conseil
d'Etat
L'article 71 nouveau prévoit que des décrets en Conseil d'Etat fixeront les modalités d'application de la loi, comme cela avait été le cas en 1978. La CNIL sera consultée, comme l'impose l'article 28 de la directive selon lequel les autorités de contrôle doivent être consultées lors de l'élaboration des mesures réglementaires ou administratives relatives aux traitements des données à caractère personnel.
Article 72 (nouveau) de la loi du 6 janvier 1978
Applicabilité
à l'outre-mer
L'article 72 nouveau précise le champ d'application
territoriale de la loi.
Actuellement, l'article 47 de la loi du 6 janvier 1978 précise
déjà son applicabilité à Mayotte et aux territoires
d'outre-mer.
Le chapitre V
bis
relatif à la recherche en matière de
santé, et issu de la loi du 1
er
juillet 1994 ne s'y
appliquait cependant à l'origine pas, situation modifiée par
l'ordonnance du 28 mars 1996.
La question du maintien de cette situation se posait, le projet de loi visant
à transposer une directive «
marché
intérieur
». On rappellera que les territoires
d'outre-mer, la Nouvelle-Calédonie et les collectivités de
Saint-Pierre-et-Miquelon et de Mayotte ne bénéficient que d'un
statut d'association à l'Union européenne et que leur territoire
n'est donc pas considéré comme faisant partie de celui de l'Union
européenne.
Le rapport de M. Guy Braibant préconisait néanmoins d'appliquer
ce texte à l'outre-mer, puisqu'il concerne les liberté publiques.
Une position contraire aurait en effet constitué un abaissement de
protection interdit par le considérant 10 de la directive et se serait
heurtée à la jurisprudence du Conseil constitutionnel en
matière d'égalité de protection des citoyens en
matière de libertés publiques.
Le deuxième alinéa de cet article reprend l'aménagement
actuellement prévu par l'article 47 en matière de délai
pour les traitements à des fins de recherche médicale.
En vertu de l'article 54 nouveau, les demandes de mise en oeuvre de ces
traitements sont soumises à un comité consultatif avant
d'être présentées à la CNIL. Ce comité se
prononce dans un délai d'un mois (pouvant être ramené
à quinze jours en cas d'urgence). Par dérogation, cet article le
fixe à deux mois (un mois en cas d'urgence) si le demandeur
réside en Polynésie française, dans les îles
Wallis-et-Futuna, dans les Terres australes et antarctiques françaises,
en Nouvelle-Calédonie ou à Mayotte.
Votre commission des Lois vous propose d'
adopter l'article 13 sans
modification
.
Article 14
(art. 226-16 à 226-24 du code pénal)
Sanctions
pénales
Le
projet de loi réaménage le régime des sanctions
pénales réprimant les infractions aux dispositions de la loi du 6
janvier 1978, afin de tenir compte de la réorientation de l'action de la
CNIL vers le contrôle
a posteriori
.
L'article 24 de la directive du 24 octobre 1995 prévoit en effet que
«
Les Etats membres (...) déterminent les sanctions
à appliquer en cas de violation des dispositions prises en application
de la présente directive
».
1- Le régime pénal actuel
La législation pénale française applicable en
matière de protection des personnes à l'égard des
traitements automatisés de données nominatives résulte
tant de la loi du 6 janvier 1978, modifiée par la loi du 16
décembre 1992, que du code pénal.
Le chapitre VI de la loi de 1978 intitulé «
Dispositions
pénales
» comporte, outre l'article 41 rappelant que les
infractions aux dispositions de la loi sont réprimées par les
articles 226-16 à 226-24 du code pénal, les articles 42 et
43 sanctionnant de peines délictuelles respectivement l'utilisation sans
autorisation du répertoire national d'identification des personnes
physiques (cinq ans d'emprisonnement et 300.000 euros d'amende), et l'entrave
à l'action de la CNIL (un an d'emprisonnement et 15.000 euros
d'amende).
Par ailleurs, le code pénal comporte sept infractions de nature
délictuelle -antérieurement prévues aux articles 41
à 44 de la loi de 1978- énumérées dans la section V
du chapitre VI du titre II du livre deuxième, intitulée
«
Des atteintes aux droits de la personne résultant des
fichiers ou des traitements informatiques
», aux articles 226-17
à 226-22.
Il s'agit :
- de la mise en oeuvre d'un traitement sans formalité
préalable (création d'un fichier clandestin), punie par l'article
226-16 de trois ans
d'emprisonnement et 300.000 euros d'amende ;
- du non respect de l'obligation générale de
sécurité des informations, punie par l'article 226-17 de cinq ans
d'emprisonnement et 300.000 euros ;
- de la collecte d'informations par un moyen frauduleux, déloyal ou
illicite ou malgré l'opposition légitime des personnes, punie par
l'article 226-18 de cinq ans d'emprisonnement et 300.000 euros
d'amende ;
- de la conservation des données au-delà de la durée
prévue, sans l'accord de la CNIL, punie par les articles 226-19 et
226-20 de respectivement cinq ans d'emprisonnement et 300.000 euros d'amende et
de trois ans d'emprisonnement et 45.000 euros d'amende, selon qu'il s'agit ou
non de données sensibles ;
- du détournement de la finalité du traitement, punie par
l'article 226-21 de cinq ans d'emprisonnement et 300.000 euros
d'amende ;
- de la divulgation d'informations à des tiers non
autorisés, pouvant porter atteinte à la vie privée ou
à la considération de la personne, punie par l'article 226-22
d'un an d'emprisonnement et 15.000 euros d'amende (7.500 euros d'amende si
cette divulgation n'est pas intentionnelle).
L'article 226-23 étend l'application des articles 226-17 à 226-19
aux fichiers manuels.
L'article 226-24 prévoit enfin la responsabilité pénale
des personnes morales qui encourent, outre l'amende, la peine d'interdiction
d'exercer, le placement sous surveillance judiciaire, la fermeture de
l'établissement, l'exclusion des marchés publics, la confiscation
et la publicité
de la décision.
2- Les orientations retenues par le projet de loi initial
Le
rapport remis par M. Guy Braibant
au Premier ministre indiquait
que «
le régime répressif français en
matière de fichiers informatiques -dont la cohérence avec
d'autres dispositions du code pénal comparables est sujette à
caution- se caractérise par une grande sévérité,
dont le contraste avec une jurisprudence pusillanime est frappant. (...) Compte
tenu de la faible effectivité de la loi pénale en cette
matière, il paraît souhaitable d'explorer les voies permettant de
mieux sanctionner ces atteintes aux libertés
».
Tout en soulignant qu'il ne fallait pas abandonner la voie judiciaire au seul
profit d'une régulation administrative, il préconisait de
distinguer selon que le comportement en cause était manifestement
destiné à porter atteinte à la liberté ou
consistait seulement en une violation d'une règle de forme n'ayant pas
entraîné de préjudice, le premier étant toujours
puni d'une peine correctionnelle -le
quantum
de l'emprisonnement ne
devant pas dépasser trois ans-et le second, d'une peine
contraventionnelle.
Selon lui, la première catégorie pourrait comprendre cinq
infractions actuellement contenues dans le code pénal : la mise en
oeuvre d'un traitement sans formalité préalable (article 226-16),
la collecte frauduleuse d'informations (article 226-18), la mémorisation
de données sensibles sans autorisation des personnes (article 226-19),
le détournement de la finalité d'un traitement (article 226-21)
et la divulgation à des tiers non autorisés (article 226-22).
Dans la seconde catégorie figureraient l'utilisation illicite du
répertoire national d'identification (article 42 de la loi du 6 janvier
1978), le non-respect de l'obligation générale de
sécurité (article 226-17 du code pénal), la conservation
de données au-delà de la durée initialement prévue
ou accordée (article 226-20), ainsi que l'entrave à l'action de
la commission (article 43 de la loi du 6 janvier 1978).
Parmi ces dernières infractions, la distinction entre délits et
contraventions pourrait aussi ne s'appliquer qu'au préjudice subi. Les
infractions n'ayant entraîné aucun préjudice pour les
personnes (comme l'omission de modalités de traitement propres à
éviter la déformation des informations enregistrées, alors
que ces informations ne pourraient en toute hypothèse prêter
à confusion) seraient punies des peines prévues pour les
contraventions de cinquième classe, les faits ayant
entraîné un préjudice (comme les informations ayant
entraîné par leur insuffisance des conséquences
patrimoniales graves pour un homonyme complètement étranger au
traitement) relevant de poursuites correctionnelles.
Le rapport considérait qu'il ne s'agirait pas d'un abaissement du niveau
de protection, cette solution présentant l'avantage de permettre des
poursuites simples et rapides, le cas échéant par voie
d'ordonnance pénale, avec les possibilités de traitement de masse
qu'ouvre le jugement des contraventions.
Le
projet de loi initial
s'est dans une certaine mesure inspiré
de ces recommandations.
a) Tout d'abord, il procède à des
aménagements
formels
.
Le chapitre VI de la loi du 6 janvier 1978 est abrogé par l'article 6 du
projet de loi, ses articles étant réintroduits, modifiés,
dans un nouveau chapitre VIII créé par l'article 8 du projet
de loi, voire directement dans le code pénal.
Le paragraphe I procède à des adaptations rédactionnelles
de coordination des articles 226-16 à 226-23, du fait de la nouvelle
terminologie employée par le projet de loi.
b) Par ailleurs, le projet de loi initial prévoyait un
abaissement
significatif du niveau des sanctions encourues
.
Ainsi, alors que la loi actuelle prévoit des peines allant
jusqu'à cinq ans d'emprisonnement et 300.000 euros d'amende, elles
étaient abaissées à trois ans d'emprisonnement et 45.000
euros d'amende :
- le non respect des formalités préalables (article 226-16)
passait donc de cinq ans d'emprisonnement et 300.000 francs d'amende à
trois ans d'emprisonnement et 45.000 euros d'amende ;
- l'utilisation frauduleuse du numéro d'inscription au
répertoire national d'identification des personnes physiques ou portant
sur la quasi-totalité de la population (article 42 de la loi du 6
janvier 1978 devenu l'article 226-16-1), punie actuellement de cinq ans
d'emprisonnement et de 300.000 euros d'amende passait à trois ans
d'emprisonnement et 45.000 euros d'amende;
- le manquement à l'obligation de sécurité
prévue par l'article 34 modifié (article 226-17) puni
actuellement de cinq ans d'emprisonnement et de 300.000 euros d'amende
était abaissé par le projet de loi initial à deux ans
d'emprisonnement et 30.000 euros d'amende ;
- la collecte frauduleuse (article 226-18) punie actuellement de cinq ans
d'emprisonnement et de 300.000 euros d'amende était abaissée par
le projet de loi initial à trois ans d'emprisonnement et 45.000 euros
d'amende ;
- la conservation des données au-delà de la durée
prévue, sans l'accord de la CNIL, de données sensibles ou non,
punie par les articles 226-19 et 226-20 de respectivement cinq ans
d'emprisonnement et 300.000 euros d'amende et de trois ans
d'emprisonnement et 45.000 euros d'amende était abaissée
à respectivement trois ans d'emprisonnement et 45.000 euros
d'amende et deux ans d'emprisonnement et 30.000 euros d'amende ;
- le détournement de la finalité du traitement, puni par
l'article 226-21 de cinq ans d'emprisonnement et 300.000 euros d'amende,
était abaissé à trois ans d'emprisonnement et 45.000 euros
d'amende ;
En revanche, la divulgation d'informations à des tiers non
autorisés pouvant porter atteinte à la vie privée ou
à la considération de la personne, punie par l'article 226-22
d'un an d'emprisonnement et 15.000 euros d'amende (7.500 euros d'amende si
cette divulgation n'est pas intentionnelle), était relevée
à trois ans d'emprisonnement et 45.000 euros d'amende (un
an d'emprisonnement et 15.000 euros d'amende lorsqu'elle n'est pas
intentionnelle).
c) De plus, la
liste des infractions est complétée
par le
paragraphe I.
Le projet de loi modifie l'article 226-16 en insérant un second
alinéa qui prévoit de réprimer le fait de procéder
ou de faire procéder à un traitement ayant fait l'objet d'une
injonction de cesser le traitement, de procéder à sa destruction
ou de retrait de l'autorisation (mesures prévues par l'article 45
modifié).
En outre, le projet de loi codifie les dispositions sanctionnant l'utilisation
sans autorisation du répertoire national d'immatriculation des personnes
physiques figurant actuellement à l'article 42 de la loi du
6 janvier 1978 en créant un nouvel article 226-16-1. Cette
infraction est étendue aux traitements portant sur la totalité ou
la quasi-totalité de la population de la France.
Par coordination avec les amendements proposés aux articles 25 et
27 modifiés, votre commission des Lois vous propose un
amendement
de suppression de cet ajout.
Il est en outre inséré un article 226-18-1, qui réprime le
fait de «
procéder à un traitement de données
à caractère personnel concernant une personne physique
malgré l'opposition de cette personne, lorsque ce traitement
répond à des fins de prospection, notamment commerciale, ou
lorsque cette opposition est fondée sur des motifs
légitimes
».
Actuellement, l'article 226-18 punit déjà la non prise en compte
de l'opposition légitime d'une personne de cinq ans d'emprisonnement et
300.000 euros d'amende. Le projet de loi abaisse les sanctions à trois
ans et 45.000 euros d'amende.
Les dispositions relatives aux traitements de données à
caractère personnel ayant pour fin la recherche en matière de
santé, introduites par la loi du 1
er
juillet 1994
précédemment citée et prévues par
l'article 226-18, sont reprises dans un nouvel article 226-19-1. Les
sanctions, précédemment de cinq ans d'emprisonnement et
300.000 euros d'amende, sont abaissées à trois ans
d'emprisonnement et 45.000 euros d'amende.
Par ailleurs, le projet de loi introduit un article 226-22-1 réprimant
la violation des nouvelles dispositions prévues par l'article 12 du
projet de loi (articles 68 à 70 nouveaux) consacrées aux
transferts de données à caractère personnel vers des Etats
tiers. La peine encourue est fixée à deux ans d'emprisonnement et
30.000 euros d'amende.
Enfin, le nouvel article 226-22-2 prévoit que dans les cas
prévus aux articles 226-16 à 226-22-1, le juge pourra
également demander l'effacement de tout ou partie des données
à caractère personnel faisant l'objet du traitement ayant
donné lieu à l'infraction. Les membres et les agents de la CNIL
seront habilités à constater l'effectivité de cet
effacement.
Actuellement, le 3° de l'article 21 de la loi du 6 janvier 1978
prévoit déjà que la CNIL peut directement prescrire
«
la destruction des supports d'informations
».
Cette disposition n'avait pas été reprise par le projet de loi
initial mais un amendement du rapporteur de l'Assemblée nationale,
M. Gérard Gouzes, adopté avec l'avis favorable du
Gouvernement, l'a réintroduite à l'article 45 modifié de
la loi relatif aux pouvoirs de sanction de la CNIL, ajout que votre commission
des Lois vous a proposé par amendement de supprimer.
d) Enfin, les dispositions relatives à la
responsabilité
pénale des personnes morales
sont adaptées par le paragraphe
II.
Ainsi, l'article 226-24 du code pénal permettant de rechercher la
responsabilité pénale des personnes morales autres que l'Etat et
les collectivités locales et leurs groupements pour les infractions
prévues par la loi du 6 janvier 1978 est modifié afin
d'étendre par coordination aux nouvelles incriminations ce principe de
la responsabilité pénale des personnes morales.
Ce principe a été introduit par le nouveau code pénal
entré en vigueur le 1
er
mars 1994. En vertu de son article
121-2, les personnes morales peuvent se voir infliger des peines d'amende,
l'interdiction d'exercer, le placement sous surveillance judiciaire, la
fermeture de l'établissement, l'exclusion des marchés publics,
ainsi que la confiscation et la publicité de la décision.
On rappellera enfin que les articles 7 et 8 du projet de loi renforcent
parallèlement les pouvoirs de sanction de la CNIL. Les sanctions
pécuniaires qu'elle pourra prononcer seront susceptibles de s'imputer
sur l'amende prononcée le cas échéant
ultérieurement par le juge sur le fondement des articles
précités du code pénal.
De plus, l'article 8 du projet de loi reprend en les adaptant les dispositions
figurant actuellement aux articles 41 et 43 précités de la loi du
6 janvier 1978 dans des articles nouveaux numérotés 50
(renvoi aux sanctions prévues par les articles 226-16 à 226-24 du
code pénal) et 51 (sanction en cas d'entrave de l'action de la CNIL)
regroupés dans un chapitre VIII intitulé :
«
Dispositions pénales
».
Par ailleurs, il insère dans la loi « Informatique et
libertés » un article 52 prévoyant que :
«
Le procureur de la République avise le président
de la CNIL de toutes les poursuites relatives aux infractions aux dispositions
de la section 5 du chapitre VI du titre II du livre II du code pénal et
le cas échéant des suites qui leur sont données. Il
l'informe de la date et de l'objet de l'audience de jugement par lettre
recommandée adressée au moins dix jours avant cette date. La
juridiction d'instruction ou de jugement peut appeler le président de la
CNIL ou son représentant à déposer ses observations ou
à les développer oralement à l'audience
».
3- Les modifications apportées par l'Assemblée nationale
L'Assemblée nationale a largement modifié cet article.
a) le
refus d'un abaissement du niveau des sanctions pénales
En effet, l'abaissement du niveau des sanctions pénales a fait l'objet
de critiques, notamment de la part de la CNIL
42(
*
)
, même si les peines maximales
n'étaient jamais effectivement prononcées et que le nombre de
poursuites était extrêmement faible.
Il est certain que les intérêts économiques et financiers
de certains grands groupes d'opérateurs commerciaux et les profits
potentiels pouvant être retirés du commerce de données
à caractère personnel (en termes de prospection commerciale
notamment) relativisent fortement l'effet dissuasif d'une amende de 45.000
francs, même multipliée par cinq pour les personnes morales.
Le rapporteur de la commission des Lois de l'Assemblée nationale,
M. Gérard Gouzes, s'est donc élevé contre cet
abaissement des sanctions pénales, estimant qu'il s'agissait d'un signal
très négatif, et a proposé un amendement tendant à
rétablir les niveaux de sanction existants. En conséquence, il a
également relevé le niveau des sanctions nouvellement
prévues par le projet de loi pour la violation des dispositions
relatives aux flux transfrontières.
L'Assemblée nationale a adopté cet amendement, malgré
l'avis de sagesse donné par la garde des Sceaux, qui considérait
que l'abaissement des peines maximales encourues permettrait de les situer
à un niveau comparable avec d'autres infractions causant un
préjudice plus grave aux victimes, comme les homicides involontaires,
punis d'une peine de trois ans d'emprisonnement. La ministre a en outre
estimé qu'un tel abaissement permettrait d'éviter un
décalage trop important entre les peines maximales prévues et les
peines effectivement prononcées.
b) Par ailleurs, l'Assemblée nationale a inséré à
l'initiative du rapporteur, M. Gérard Gouzes, et avec l'avis
favorable du Gouvernement, un article 226-16-1 A nouveau instituant une
nouvelle infraction pénale
réprimant
le fait pour un
opérateur de mettre en oeuvre un traitement sur le fondement d'une
déclaration simplifiée ou d'une dispense de déclaration,
et de
ne pas respecter par la suite les normes établies à cet
effet par la CNIL
.
Enfin, l'Assemblée nationale a, à l'initiative
M. Gérard Gouzes, rapporteur, et avec l'avis favorable du
Gouvernement, étendu la répression des infractions à la
loi du 6 janvier 1978 aux traitements non automatisés, par coordination
avec le reste du projet de loi.
Votre commission des Lois vous propose donc d'
adopter un amendement
,
puis d'
adopter l'article 14 ainsi modifié
.