Logo : Sénat français

Direction de la séance

Proposition de loi

Droit à la vie privée à l'heure du numérique

(1ère lecture)

(n° 331 , 330 , 317)

N° 30

23 mars 2010


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 3


Supprimer cet article.

Objet

Cet article crée un chapitre au sein de la loi du 6 janvier 1978 consacré au correspondant « informatique et libertés ».

Actuellement, la désignation d'un correspondant à la protection des données respecte un équilibre dans les obligations qui pèsent sur le responsable d'un traitement, de même que dans les prérogatives de la CNIL : un correspondant à la protection des données, qui dispose de liens avec la Commission, peut être nommé par le responsable de traitements soumis au régime de la déclaration prévue aux articles 23 et 24 de la loi. En contrepartie, la désignation du correspondant dispense l'autorité qui crée le traitement d'accomplir auprès de la CNIL la formalité préalable de la déclaration. Un tel mécanisme allège la procédure.

Le texte issu de la commission rend obligatoire la nomination d'un correspondant « lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel qui relève du régime d'autorisation en application des articles 25, 26 ou 27 ou pour lequel plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en œuvre ».

Ce texte est entaché de contradictions internes : il rend la désignation du correspondant obligatoire lorsque l'organisme recourt à un traitement relevant du régime d'autorisation, mais il tire des conséquences de cette désignation uniquement sur les traitements relevant du régime de déclaration des articles 23 et 24. En outre, le seuil à partir duquel le correspondant deviendrait obligatoire est particulièrement malaisé à identifier : en effet, contrairement à l'identification du nombre d'employés travaillant dans un organisme, le nombre de personnes chargées de la mise en œuvre du traitement n'est pas aisé à déterminer.

Surtout, l'article 3 opère un bouleversement de l'approche jusque là privilégiée par la loi Informatique et Libertés, qui faisait des correspondants à la protection des données un vecteur de diffusion de la culture de la protection des données d'autant plus efficace qu'il reposait sur le volontariat et, partant, sur le postulat d'un lien de confiance entre l'organisme et le correspondant. A l'inverse, l'article 3 met en œuvre une logique de contrainte, qui change la nature même de l'institution du correspondant. D'une part, la désignation d'un correspondant deviendrait obligatoire, comme si, en son absence, les organismes concernés ne pourraient satisfaire à leurs obligations en matière de protection des données.

D'autre part, le choix de la personne désignée devrait nécessairement recueillir l'aval de la CNIL, privant ainsi l'organisme concerné d'une autonomie de gestion pourtant élémentaire, alors qu'actuellement la désignation du correspondant est simplement notifiée à la Commission. Enfin, le correspondant serait tenu d'informer la CNIL de toute difficulté rencontrée dans l'exercice de ses missions, ce qui reviendrait à donner à la CNIL un pouvoir général d'intrusion dans les affaires internes de l'organisme concerné. Ceci ternirait l'image dont jouit la CNIL auprès des entreprises.

De plus, une telle institution obligatoire constituerait un dangereux précédent : aucune autre autorité administrative indépendante, et c'est heureux, ne bénéficie d'un tel droit de regard dans la gestion courante des organismes concernés par leur mission de régulation. Au demeurant, la CNIL n'a nullement demandé que l'institution du correspondant à la protection des données devienne obligatoire.

Au surplus, une telle généralisation du correspondant informatique, qui conduirait à la désignation de très nombreux correspondants dans les services de l'État, des collectivités territoriales, voire des assemblées parlementaires, ne paraît pas conforme à l'esprit de la directive 95/46/CE qui a conçu l'institution du correspondant comme une faculté ouverte aux responsables de traitement. C'est notamment ce qu'avait souligné M. TÜRK, alors rapporteur du texte, lors des débats parlementaires au Sénat sur la loi du 6 août 2004, qui a transposé la directive 95/46/CE, en indiquant que le nouvel article 22 de la loi du 6 janvier 1978 a pour objet d'encourager l'institution de correspondants de la CNIL dans les entreprises privées sur la base du volontariat, et sur le modèle des correspondants existants dans la presse et dans les organismes publics. Il s'agit de la transposition d'une possibilité offerte par le point 2 de l'article 18 de la directive et déjà appliquée en Allemagne et en Suède.

Par ailleurs, s'agissant en particulier des traitements intéressant la sûreté de l'État, la défense ou la sécurité publique visés à l'article 26, l'institution obligatoire d'un correspondant serait incompatible avec l'intervention, prévue à l'article 41, d'un membre de la CNIL, appartenant ou ayant appartenu au Conseil d'État, à la Cour de cassation ou à la Cour des comptes, et chargé de contrôler la mise en œuvre de ces traitements. Le magistrat désigné peut mener les investigations utiles et faire procéder aux modifications nécessaires. Ses pouvoirs se recouperaient avec ceux du correspondant, ce qui est de nature à créer la confusion, particulièrement s'agissant de fichiers sensibles.

De manière générale, dans les administrations de l'État, l'institution obligatoire de correspondants « informatique et libertés » est de nature à créer une confusion avec les correspondants du même nom désignés dans chaque ministère qui, depuis une circulaire du Premier ministre du 12 mars 1993, assurent la coordination de l'application de la loi du 6 janvier 1978 au sein des différentes administrations et sont les interlocuteurs privilégiés du commissaire du Gouvernement auprès de la CNIL. Or, ce mécanisme, respectueux de l'organisation de l'administration de l'État, contribue très utilement à diffuser une culture d'observation des dispositions de la loi de 1978 relatives à la protection de la vie privée.

Par ailleurs, le Gouvernement est hostile à la désignation de correspondants à la protection des données tels qu'ils sont prévus à l'article 22 de la loi du 6 janvier 1978 dans les services déconcentrés de l'État. L'existence de ces correspondants dans des services dépourvus de la personnalité morale et placés sous l'autorité hiérarchique des ministres présente en effet des inconvénients en termes de définitions locales de politiques relatives à la mise en œuvre de traitements de données à caractère personnel qui risqueraient d'être mal maitrisées. La mise en place de ces correspondants est au surplus malaisée au regard du principe de l'autorité hiérarchique.

Il paraît, par conséquent, préférable de ne recourir à ce contrôle interne que dans les administrations et les entreprises qui sont volontaires pour ce faire et, dans les autres cas, de conserver une séparation claire entre les obligations du responsable de traitement et le contrôle du respect de ces obligations par un organisme extérieur, étant rappelé que la CNIL dispose de pouvoirs de contrôle a posteriori renforcés depuis l'intervention de la loi du 6 août 2004. C'est pourquoi il est proposé de supprimer cet article.