Logo : Sénat français

CS numérique

Projet de loi

Sécuriser et réguler l'espace numérique

(1ère lecture)

(n° 593 )

N° COM-145 rect.

26 juin 2023


 

AMENDEMENT

présenté par

Adopté

M. Loïc HERVÉ, rapporteur


ARTICLE 31


Rédiger ainsi cet article :

La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifiée :

1° L’article 8 est ainsi modifié :

a) Le I devient le II et la première phrase du premier alinéa est supprimée ;

b) Le I est ainsi rétabli :

"La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante." ;

c) Le II devient le IV ;

d) Après le II, il est inséré un III ainsi rédigé :

"III. – Elle est l’autorité compétente au sens de l’article 26 du règlement (UE) 2022/868 du 30 mai 2022 et modifiant le règlement (UE) 2018/1724 pour l’application de son chapitre IV. Elle veille, à ce titre, au respect des règles mentionnées au titre V de la présente loi et dispose des pouvoirs mentionnés à l'article 20-1 de la présente loi. Ses membres et les agents de ses services habilités dans les conditions définies au dernier alinéa de l'article 10 peuvent constater les manquements aux exigences énoncées au chapitre IV du règlement (UE) 2022/868 du 30 mai 2022 précité." ;

2° Le titre V devient le titre VI ;

3° Le premier alinéa de l'article 16 est complété par une phrase ainsi rédigée : "Elle est également compétente pour prendre les mesures et prononcer les sanctions à l'encontre des organisations altruistes en matière de données reconnues qui ne respectent pas les exigences énoncées au chapitre IV du règlement (UE) 2022/868 du 30 mai 2022 et modifiant le règlement (UE) 2018/1724, ainsi qu'à l'encontre des plateformes en ligne qui ne respectent pas les obligations issues du règlement (UE) 2022/2065 du 19 octobre 2022 et modifiant la directive 2000/31/CE mentionnées à l'article 124-5 de la présente loi." ;

4° Après l'article 20, il est créé un article 20-1 ainsi rédigé :

"Art. 20-1. - I. - Pour l'exercice des missions relevant de la Commission nationale de l'informatique et des libertés en application du règlement (UE) 2022/868 du 30 mai 2022 et modifiant le règlement (UE) 2018/1724, les membres et agents habilités dans les conditions définies au dernier alinéa de l'article 10 de la présente loi peuvent obtenir communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support. Le secret ne peut leur être opposé. Ils peuvent, à cette fin, solliciter les personnes de contact au sens du g) du 4 de l'article 19 du règlement précité par une demande motivée pour obtenir, dans le délai fixé par la demande et qui ne peut être inférieur à 7 jours, les informations requises pour vérifier le respect des exigences énoncées au chapitre IV du même règlement."

 "II. - Lorsqu'il est constaté que l'organisation altruiste en matière de données reconnue ne respecte pas les exigences énoncées au chapitre IV du règlement (UE) 2022/868 du 30 mai 2022 précité, le président de la Commission nationale de l'informatique et des libertés notifie ces constatations à l’organisation concernée et lui donne la possibilité d’exposer son point de vue dans un délai de trente jours à compter de la réception de la notification.

"III. - Si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, le président de la Commission nationale de l'informatique et des libertés peut, après avoir émis la notification prévue au II du présent article, mettre en demeure une organisation altruiste en matière de données reconnue de se conformer, dans le délai qu'il fixe, aux exigences énoncées au chapitre IV du règlement (UE) 2022/868 du 30 mai 2022 précité.

"Le président peut demander qu'il soit justifié de la mise en conformité dans un délai qu'il fixe. Ce délai peut être fixé à vingt-quatre heures en cas d'urgence. Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

"Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.

"IV. - Lorsque l'organisation altruiste en matière de données reconnue ne respecte pas les obligations résultant du chapitre IV du règlement (UE) 2022/868 du 30 mai 2022 précité, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé la notification prévue au II du présent article ou après avoir prononcé à son encontre la mise en demeure prévue au III, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :

"1° L’une des sanctions énoncées au 5 de l’article 24 du règlement (UE) 2022/868 du 30 mai 2022 précité ;

"2° Une amende administrative dont le montant tient compte des critères fixés à l’article 34 du même règlement et ne peut excéder les plafonds prévus au 4 de l’article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE."

5° Le titre V est ainsi rétabli :

"TITRE V

"DISPOSITIONS RELATIVES A L’ALTRUISME EN MATIÈRE DE DONNÉES

"Art. 124-1. – La Commission nationale de l’informatique et des libertés, en tant qu’autorité compétente pour l’enregistrement des organisations altruistes en matière de données au sens de l’article 23 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724, tient et met à jour le registre public national des organisations altruistes en matière de données reconnues mentionné à l’article 17 du même règlement.

"Art. 124-2. - En tant que responsable du registre mentionné à l’alinéa précédent, la Commission nationale de l’informatique et des libertés traite, dans les conditions fixées à l’article 19 du règlement (UE) 2022/868 du 30 mai 2022 précité, les demandes d’enregistrement formées auprès d’elle par les personnes qui remplissent les conditions fixées par l’article 18 de ce même règlement.

"Un décret en Conseil d’État précise le détail de la procédure d’enregistrement.

"Art. 124-3. - Conformément à l’article 27 du règlement (UE) 2022/868 du 30 mai 2022 précité, la Commission nationale de l’informatique et des libertés reçoit et instruit toute réclamation formée par des personnes physiques et morales relevant du champ d’application du chapitre IV du même règlement. Dans un délai raisonnable, elle informe la personne physique ou morale concernée de l'issue réservée à la réclamation et de son droit de former un recours juridictionnel."

Objet

Le présent amendement poursuit plusieurs objectifs.

Tout d'abord, il procède à des clarifications rédactionnelles visant à améliorer l'insertion des nouvelles dispositions portant sur l'altruisme en matière de données dans la loi "informatique et libertés" du 6 janvier 1978.

Ensuite, il aligne la rédaction relative aux nouvelles prérogatives de la CNIL sur les formules existantes, conformément au souhait de la Commission d'harmoniser, dans un but de lisibilité, ses pouvoirs de contrôle et de sanction. Les alignements proposés sont pleinement compatibles avec le règlement dit "DGA" et sont un gage de plus grande efficacité de l'action de la Commission.

Enfin, il complète le dispositif proposé en instaurant un droit de communication au bénéfice de la CNIL pour l'application du DGA, en précisant les modalités de mise en œuvre de ses nouveaux pouvoirs, en supprimant des renvois généraux à des décrets en Conseil d’État ou encore en prévoyant la possibilité de former un recours juridictionnel contre les décisions rendues à la suite d'une réclamation.