Mercredi 14 mars 2018

- Présidence de M. Philippe Bas, président -

La réunion est ouverte à 9 h 05.

Projet de loi autorisant la ratification du protocole n° 16 à la convention de sauvegarde des droits de l'homme et des libertés fondamentales - Communication

M. Philippe Bas, président. - Le Sénat examinera en séance publique, le 22 mars prochain, selon la procédure d'examen simplifié, le projet de loi autorisant la ratification du protocole n° 16 à la convention de sauvegarde des droits de l'homme et des libertés fondamentales, qui a été envoyé au fond à la commission des affaires étrangères, de la défense et des forces armées.

Ce protocole instaure un mécanisme permettant aux juridictions nationales suprêmes d'adresser à la Cour européenne des droits de l'homme (CEDH) des demandes d'avis consultatifs sur des questions de principe relatives à l'interprétation ou à l'application des droits et libertés définis par la convention et ses protocoles, dans le cadre d'une affaire pendante devant elles.

C'est un sujet sensible : s'il donnera davantage de sécurité juridique au Conseil d'État, à la Cour de cassation et au Conseil constitutionnel, en les prémunissant contre un désaveu par la CEDH, ce protocole constitue un pas supplémentaire dans l'intégration dans notre ordre juridique interne de la jurisprudence de la CEDH. Aussi voulais-je évoquer la question devant vous.

Projet de loi relatif à la protection des données personnelles (procédure accélérée) - Examen du rapport et du texte de la commission

Mme Sophie Joissains, rapporteur. - Nous examinons le projet de loi relatif à la protection des données personnelle. L'objet de ce texte est d'adapter la loi « Informatique et libertés » au paquet européen de protection des données personnelles, qui se compose d'un règlement général sur la protection des données (RGPD) et d'une directive spécifique aux traitements mis en oeuvre en matière policière et judiciaire.

Ces sujets ne sont pas inconnus de notre commission, qui a la chance de compter parmi ses membres un commissaire de la Commission nationale de l'informatique et des libertés (CNIL), Loïc Hervé. De façon générale, le Sénat s'est distingué ces dernières années en étant particulièrement actif sur ces questions.

Il a d'abord agi au niveau européen. Saluons, à ce propos, le travail mené par notre collègue Simon Sutour, au sein de la commission des affaires européennes, sur l'orientation et les principes directeurs du règlement européen, puis à la commission des lois, où il a été rapporteur sur le règlement, la directive et la résolution votée en séance publique. Dans le cadre de ses travaux de contrôle, le Sénat a également entrepris ces dernières années une réflexion plus large et nourrie sur les enjeux de souveraineté numérique. En témoignent la mission commune d'information sur la gouvernance d'Internet, dont le rapporteur était notre collègue Catherine Morin-Desailly, qui devrait bientôt présenter un rapport sur l'éducation et la formation numériques. Enfin, au sein de notre commission, lors de la discussion de la loi pour une République numérique, plusieurs dispositions approuvées à l'initiative du rapporteur Christophe-André Frassa avaient justement comme ambition d'anticiper l'entrée en vigueur des nouvelles règles européennes de protection des données - ce qui n'était pas un luxe !

Le règlement européen doit constituer le nouveau cadre de la protection des données personnelles des Européens tout en protégeant la compétitivité des entreprises européennes. Il sera directement applicable à partir du 25 mai, mais son application uniforme est atténuée par l'existence de 56 marges de manoeuvre, qui sont autant d'options facultatives ou de dérogations que les États peuvent introduire dans leur droit national.

Il poursuit trois objectifs principaux. D'abord, renforcer les droits des personnes dont les données sont utilisées : le règlement réaffirme les droits des personnes - droits d'accès, d'opposition et de rectification -, introduit de nouveaux droits mieux adaptés à l'évolution des technologies numériques - portabilité des données, droit à l'oubli, lutte contre le profilage, protection spécifique des enfants - et facilite l'exercice de ces droits par des actions par mandataire, voire des actions collectives et le droit à réparation du préjudice subi.

Le deuxième objectif du règlement est de mieux graduer les obligations des acteurs en fonction des risques pour la vie privée. Il met ainsi fin à la plupart des formalités préalables auprès des autorités nationales. En contrepartie, la responsabilité des opérateurs gérant des fichiers est mieux graduée, étalée durant tout le cycle de vie des données. Ce n'est qu'en cas de risque qu'il revient au responsable de réaliser une étude d'impact et de solliciter, au besoin, l'avis du régulateur. Le règlement privilégie le recours à de nouveaux outils de conformité inspirés du droit souple : lignes directrices, codes de conduite spécifiques à certains secteurs et certification. Il généralise la désignation de délégués à la protection des données, dont le rôle, au sein de chaque structure, est d'aider à traiter les réclamations et de conseiller le responsable de traitement en coopération avec le régulateur national. Sa nomination est obligatoire dans plusieurs cas pour le secteur privé, pour les traitements à grande échelle et les données sensibles, et, surtout, pour toute personne publique - ce qui inclut même la plus petite de nos communes !

Le troisième objectif du règlement est de doter les régulateurs de pouvoirs à la mesure des enjeux de souveraineté numérique. Le champ d'application territorial et matériel du droit européen est considérablement élargi : le règlement doit être appliqué non seulement dès lors que le responsable de traitement est établi sur le territoire de l'Union européenne
- c'est le critère de résidence - mais il a aussi vocation à s'appliquer hors de l'Union, dès lors qu'un résident européen est visé par un traitement de données, y compris donc par Internet. Les règles de transfert de données personnelles hors de l'Union européenne sont précisées et la coopération entre régulateurs en cas de transferts transfrontaliers est considérablement renforcée, ce qui est bienvenu.

Le règlement instaure des amendes désormais dissuasives en cas de manquement : jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial, chiffres pouvant même être doublés dans certains cas. Les autorités nationales sont ainsi enfin dotées d'outils à la hauteur des moyens des géants du numérique qu'elles sont appelées à réguler.

La directive reprend l'essentiel des principes du règlement et est applicable à tout traitement de données à caractère personnel aux fins de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales. Elle doit, pour sa part, être transposée avant le 6 mai 2018.

Le projet de loi a pour but d'adapter notre droit au règlement général, de tirer parti des marges de manoeuvre nationales qu'il autorise et de transposer la directive sectorielle. Le Gouvernement a fait le choix symbolique de conserver la loi Informatique et libertés en n'opérant que les modifications strictement indispensables à la mise en oeuvre du règlement et de la directive.

Ainsi, les missions de la CNIL sont élargies et ses pouvoirs, renforcés. Le traitement des données dites sensibles reste encadré et des régimes spécifiques plus protecteurs, conservant des formalités préalables, restent prévus pour certains traitements, comme ceux du numéro de sécurité sociale, des données biométriques ou génétiques, des condamnations pénales, des archives ou des données de santé. L'Assemblée nationale a étendu l'objet de l'action de groupe en matière de données personnelles à la réparation des dommages en vue d'obtenir la réparation des préjudices matériels. Les députés ont abaissé à quinze ans l'âge de consentement au traitement des données personnelles, fixé à seize ans dans le projet initial. Certaines décisions administratives individuelles fondées sur des algorithmes sont autorisées. L'importance des conditions de recueil du consentement est réaffirmée, tandis que sont supprimées les dispositions relatives à la portabilité des données, jugées satisfaites par celles, d'application directe, prévues dans le règlement. Les règles applicables au traitement de données à caractère personnel prévues par la directive sont transposées. Le fichier de traitement d'antécédents judiciaires (TAJ) est sécurisé en réponse à une décision QPC du Conseil constitutionnel.

Mes amendements ne remettent pas en cause l'objectif global de ce texte mais corrigent de graves lacunes et rééquilibrent certains éléments du dispositif.

D'abord, je souhaite que notre commission réponde aux attentes et aux vives inquiétudes des collectivités territoriales. Ce sont les grandes absentes du projet de loi : pas une ligne ne les mentionne. Elles sont pourtant concernées au premier chef : fichier d'état civil, fichier des cantines scolaires, fichier d'aide sociale, listes électorales, fiscalité locale, cadastre... Elles sont responsables de nombreux traitements sur lesquels elles n'ont souvent pas prise, car ils découlent d'obligations légales.

Sous la menace de sanctions pécuniaires, elles devront assumer seules des coûts importants : nomination d'un délégué à la protection des données, adaptation de certains fichiers existants, renforcement de la sécurité en cas de données sensibles, réponse à l'exercice des nouveaux droits des particuliers... Les discussions à l'Assemblée nationale n'ont malheureusement pas permis de corriger les lacunes initiales du texte, car si les députés sont restés attentifs, à juste titre, au sort des TPE-PME, les collectivités territoriales ont été totalement négligées dans les débats.

Face à cette situation, je vous proposerai de prévoir que la CNIL adapte les normes qu'elle édicte et les informations qu'elle diffuse aux besoins et aux moyens des collectivités, notamment des plus petites d'entre elles, de dégager de nouveaux moyens pour aider les collectivités à se conformer à leurs nouvelles obligations, de faciliter la mutualisation des services numériques entre collectivités, et de réduire l'aléa financier, en supprimant
- comme pour l'État - la faculté pour la CNIL d'imposer aux collectivités des amendes administratives et en reportant de deux ans l'entrée en vigueur de l'action de groupe en réparation des préjudices subis en matière de données personnelles.

Ensuite, même si je suis consciente du caractère extrêmement délicat du choix à opérer ici, je vous proposerai de rétablir à seize ans l'âge du consentement numérique autonome, dans l'attente d'un rapport du Gouvernement nous éclairant sur les pratiques et les risques ou des résultats des travaux en cours au Sénat. Il me semble aussi nécessaire de mieux encadrer la faculté pour l'administration de prendre des décisions individuelles sur le seul fondement de traitements automatisés de données.

Je vous proposerai également de rééquilibrer la procédure d'action de groupe en réparation des préjudices. Sans la remettre en cause, il nous faut entendre l'inquiétude des petits opérateurs, collectivités territoriales comprises : chacun s'accorde à dire qu'ils ne seront pas prêts pour appliquer le règlement européen dès le 25 mai 2018 et ils pourraient être mis à terre par une condamnation pécuniaire trop lourde - sans compter les risques d'abus de droit, de quérulence ou d'extorsion. Pour apaiser ces craintes, je vous proposerai notamment de différer de deux ans l'entrée en vigueur de l'action de groupe en réparation des préjudices, pour laisser le temps aux responsables de traitement de s'adapter, et d'imposer l'agrément préalable des associations de protection de la vie privée pour que celles-ci puissent introduire une action de groupe, afin de s'assurer de leur sérieux et de leur indépendance.

Je souhaite solennellement attirer l'attention de notre commission sur le grave problème que va poser l'insuffisance des moyens de la CNIL : déjà très sollicitée, elle ne disposera pas des capacités matérielles et humaines de faire face à sa nouvelle charge de travail. Les quelques mesures visant à faciliter son organisation interne ne suffiront pas et nous devrons absolument interroger le Gouvernement en séance à ce sujet. Les deux cent personnes qui travaillent à la CNIL représentent un effectif plus de deux fois inférieur à celui dont dispose son homologue britannique.

Je vous ferai aussi diverses propositions pour améliorer la transposition de la directive et garantir la constitutionnalité des fichiers de traitement des antécédents judiciaires.

Enfin, il nous faudra obtenir de sérieuses garanties sur l'orientation de l'ordonnance de recodification destinée à procéder aux nombreuses mises en cohérence que le Gouvernement affirme ne pas avoir eu le temps de réaliser dans le texte présenté. La CNIL et le Conseil d'État ont indiqué que l'illisibilité de ce projet de loi posait un problème d'accès au droit. Le manque d'anticipation du Gouvernement est grave : le contenu de la directive et du règlement étaient connus depuis avril 2016. Il révèle, vis-à-vis du Parlement, une désinvolture inouïe et, vis-à-vis des collectivités territoriales, un mépris abyssal.

Je vous proposerai donc de signifier au Gouvernement notre vive désapprobation en supprimant purement et simplement cette habilitation ; ceci lui laissera le soin, s'il le souhaite, de venir en séance expliquer les raisons de cette impréparation inédite, éventuellement de rétablir l'habilitation sollicitée et de préciser les contours du futur texte résultant de cette ordonnance.

M. Philippe Bas, président. - Merci. Ce projet de loi applique un règlement et transpose une directive. Les délais sont limités : nous devons avoir transposé la directive avant le 6 mai et le règlement avant le 25 mai 2018. Comme les gouvernements successifs n'ont pas fait preuve de beaucoup de diligence, notre rapporteur propose des mesures transitoires pour que la loi ne s'applique pas de manière brutale.

Actuellement vice-président de la commission des affaires européennes après en avoir été le président, Simon Sutour est un spécialiste reconnu de ces questions. Pour combattre la sur-transposition, la conférence des présidents a récemment décidé que la commission des affaires européennes pourrait présenter des observations sur certains textes législatifs. Nous expérimentons cette nouvelle procédure.

M. Simon Sutour. - Le 21 février dernier, la conférence des présidents a effectivement confié à la commission des affaires européennes, à titre expérimental et pour un an, une mission de veille sur l'intégration des textes européens dans notre législation nationale. C'est à ce titre que cette commission a examiné la semaine dernière, sur mon rapport, ce projet de loi, et a formulé des observations. Sophie Joissains étant aussi membre de cette commission, elle a pris une part active au débat.

Nous avions suivi avec attention l'élaboration de ce règlement général et de cette directive. J'ai présenté deux propositions de résolution européennes et un avis motivé sur ce sujet, qui ont été pris en considération : nous demandions que des dispositions nationales plus protectrices puissent être conservées, que toute personne résidant en France puisse saisir la CNIL, quand bien même le traitement des données aurait lieu dans un autre pays - l'Irlande, par exemple - et qu'ainsi tout citoyen français relève de la CNIL française.

Le projet de loi maintient certains régimes spéciaux protecteurs : il révise le régime particulier d'utilisation du numéro national d'identification des personnes et certains traitements mis en oeuvre pour le compte de l'État, il définit des règles plus protectrices pour les données biométriques et génétiques, il introduit un nouveau dispositif régissant le traitement des données de santé, qui présentent une finalité d'intérêt public.

La commission des affaires européennes relève toutefois que les régimes spéciaux visés et les règles nationales applicables aux données les plus sensibles s'inscrivent bien dans la logique du maintien d'un haut niveau national de protection souhaité par le Sénat, sans excéder les marges de manoeuvre ouvertes par le règlement. L'utilisation des données par les services de renseignement n'est toutefois pas évoquée.

La commission des affaires européennes a souligné la charge que représente l'obligation de mise en conformité à très brève échéance pour les petites collectivités territoriales, qui sont souvent dans l'incapacité financière et technique d'y faire face. Et le règlement, d'application immédiate, ne prévoit pas de délai de mise en conformité. Il est donc indispensable de prévoir un accompagnement adapté : nous l'avions évoqué lors de l'audition de la présidente de la CNIL dès novembre 2016.

La commission a insisté sur la nécessité de s'assurer de la protection effective des données et des droits des personnes en cas de transfert vers des pays tiers. Dans son premier rapport sur l'application du privacy shield, publié en janvier, la Commission européenne recommande que le Département du Commerce des États-Unis poursuive la sensibilisation des entreprises et mette en oeuvre des procédures de vérification de la conformité de celles qui se sont auto-certifiées ; elle demande aussi aux autorités américaines de respecter leur engagement de lui fournir des informations récentes et exhaustives sur des améliorations pouvant s'avérer pertinentes.

Sur l'âge du consentement des enfants, fixé à quinze ans par l'Assemblée nationale selon une approche mesurée qui s'inscrit dans l'une des marges de manoeuvre ouvertes par le règlement, la commission est restée neutre : le règlement prévoit une plage de treize à seize ans.

Quant à l'extension de l'action de groupe à la réparation pécuniaire, elle a rappelé qu'il s'agit d'une faculté prévue en droit européen pour d'autres actions de groupe et recommandé qu'elle soit plutôt envisagée au niveau européen et assortie de règles d'enregistrement renforcées des associations.

M. Philippe Bas, président. - Je donne la parole à notre collègue Loïc Hervé, qui représente le Sénat à la CNIL.

M. Loïc Hervé. - Bravo pour ce rapport, qui met en exergue l'aspect politique de ce texte technique. Nous légiférons sous pression, vous l'avez dit. Si les gouvernements précédents avaient pris la mesure du travail à accomplir, nous ne nous verrions pas imposer un tel calendrier - ni un recours aux ordonnances. La France a été en avance, il y a quarante ans, quand l'informatique était à ses balbutiements, avec la création de la CNIL et de la Commission d'accès aux documents administratifs (CADA). La loi de 1978 et ses grands principes peuvent encore nous inspirer dans les bouleversements que nous traversons. Elle pose le triptyque liberté-sécurité-souveraineté. Liberté, car nos données personnelles, prolongement de notre corps et de notre vie, nous appartiennent, et le législateur doit les protéger. Sécurité, car ces données sont parfois sensibles et peuvent avoir de la valeur. Souveraineté, enfin, car les échanges de données internationaux doivent préserver les intérêts de notre pays et de l'Union européenne.

Ce règlement nous fait passer d'un paradigme administratif, régi par une logique d'autorisation, à un principe de responsabilisation des acteurs. Mais encore faut-ils que ceux-ci soient au courant ! Bien des élus locaux ignorent tout du sujet. Le régime des sanctions étant renforcé, nous devons veiller à accompagner les collectivités territoriales. Les associations d'élus et les services déconcentrés de l'État ne se saisissent de la question qu'aujourd'hui. Des mutualisations doivent être mises en place pour faire baisser le coût infligé aux collectivités territoriales.

Quant aux moyens de la CNIL, ils ne sont aucunement à la hauteur des missions qu'on songe à lui confier. Déjà, ses 200 collaborateurs peinent à faire face aux sollicitations dont ils font l'objet sur le RGPD. Vieille de quarante ans, elle devra désormais fonctionner en réseau avec ses homologues européennes ; il faut donc la doter de moyens équivalents.

M. Jérôme Durain. - Nous devons mettre de l'enthousiasme et de l'énergie à traiter ce sujet, même s'il semble très encadré par le calendrier et la procédure. Européen et numérique : deux raisons du désintérêt qui semble l'entourer. Pourtant, les enjeux sont nombreux, et nous sommes en retard. Nous avons des marges de manoeuvre, dans lesquelles nous devons nous insinuer. Le secrétaire d'État l'a dit : nous sommes tous intéressés à nos traces numériques. Le Sénat, chambre des libertés et représentant des collectivités territoriales, a une double raison de s'emparer du sujet. Il faudra muscler l'arsenal contre les entreprises, qui contreviendront à la loi. En créant la CNIL, nous avons été précurseurs et il nous faut rester à la pointe de ces avancées.

Mme Maryse Carrère. - Ce dossier est complexe : il s'agit d'intégrer à notre droit des textes européens. Nous accueillons favorablement le renforcement des prérogatives de la CNIL, qui pourra saisir le Conseil d'État pour obtenir la suspension du transfert de données personnelles. L'abaissement de la majorité numérique à quinze ans nous semble satisfaisant. Nous veillerons à l'effectivité des droits d'information, de recours et de rectification et les sous-traitants devront être soumis aux mêmes obligations que les responsables de traitement. La lisibilité du texte de l'Assemblée n'est pas entièrement satisfaisante et notre rapporteur rendra certains articles plus intelligibles. Le recours à des ordonnances ultérieures trahit la précipitation du Gouvernement. Dommage ! Les amendements introduisant dans ce texte les collectivités territoriales sont bienvenus. Le groupe RDSE les votera.

Mme Esther Benbassa. - Les fichiers touchés par les services de renseignement entrent directement dans le champ d'application de cette directive et ils n'y sont pas conformes. Le Gouvernement prétend que la sûreté de l'État et la défense ne relèvent pas du droit de l'Union européenne. C'est un argument fallacieux, et la directive devrait au contraire nous conduire à modifier la loi sur le renseignement de 2015.

M. Pierre-Yves Collombat. - Comment les petites collectivités territoriales pourront-elles faire face ? Quand la question s'était posée à propos des fichiers croisés, des règles spécifiques avaient été adoptées pour les communes de moins de 2 000 habitants. Pourquoi ne pas faire de même dans ce texte ?

M. Arnaud de Belenet. - Le sort réservé aux collectivités territoriales nous inquiète, car le règlement s'imposera à elles aussi dès le mois de mai. Madame le rapporteur a présenté deux pistes : les exonérer de certaines sanctions prévues à l'article 6 et les aider à financer et à gérer les outils devenus nécessaires. Nous n'avons que quelques jours pour trouver le moyen de financer ces mesures, dont j'espère qu'elles feront consensus au Sénat.

M. Philippe Bas, président. - Sur le financement, si le Gouvernement trouve une idée géniale, nous saurons lui faire bon accueil ! À l'échelle nationale, ce sont plusieurs centaines de millions d'euros qu'il faut mobiliser. À tout le moins, le Sénat doit veiller à ce que les collectivités territoriales n'aient pas à assumer seules cette charge qui leur est imposée.

Mme Sophie Joissains, rapporteur. - C'est un vrai privilège de travailler ainsi ensemble sur les questions européennes, quelles que soient nos étiquettes politiques. Hélas, le calendrier est serré : l'Assemblée nationale a reçu le texte en décembre, et nous-mêmes en février... Ce projet de loi a le mérite d'uniformiser et d'harmoniser notre droit avec celui de l'Union européenne mais, d'un point de vue légistique, c'est un galimatias improbable qui maintient des dispositions obsolètes de la loi de 1978 - loi que, par ailleurs, nous voulons conserver, car elle a fait de nous des pionniers en Europe - et négligeant d'exploiter les marges de manoeuvre qui nous sont laissées. Pas plus que les TPE-PME, les collectivités territoriales ne sont prises en compte. C'est catastrophique : l'Assemblée des départements de France nous indiquait qu'elle avait fait son travail, mais que personne d'autre ne se sentait concerné. Les petites communes reçoivent des devis à 3 000 euros par jour pour des formations ou des mises en conformité ! La CNIL fait ce qu'elle peut pour informer le public, mais personne n'a pris la mesure des investissements à effectuer : devoir d'alerte du responsable de traitement dans les 72 heures, devoir de prévenir toutes les personnes concernées, etc. Il est invraisemblable que la question des collectivités territoriales n'ait pas été abordée, comme si elles n'existaient pas ! Je souhaite qu'elles bénéficient du même régime que l'État, au nom de leur mission de service public et de leurs prérogatives de puissance publique : pas d'amendes de la CNIL, délai de deux ans pour la mise en oeuvre de l'action de groupe et accompagnement actif pour s'y préparer par la CNIL, pourquoi pas, par les préfets. Nous proposerons également une solution pour financer les nouveaux outils des collectivités territoriales, qui sera en lien direct avec le produit des amendes de la CNIL. Je vous propose ainsi de ne pas voter l'habilitation, qui témoigne d'un double mépris : pour le Parlement et pour les collectivités territoriales. Nous ne pouvons pas laisser ce sujet de côté, même si le public ne se sent pas, pour l'instant, concerné. « Nul n'est censé ignorer la loi ». Mais bien peu ont conscience des obligations qui vont s'appliquer !

Les fichiers mis en oeuvre par l'État qui intéressent la sûreté de l'État et la défense n'entrent absolument pas, madame Benbassa, dans le champ d'application de la directive : le droit de l'Union européenne leur est inapplicable.

EXAMEN DES AMENDEMENTS

Article 1er

M. Philippe Bas, président. - Les amendements COM-28 et COM-27 ont le même objet, mais l'amendement COM-28 me semble mieux rédigé.

Mme Sophie Joissains, rapporteur. - Mon amendement COM-28 répare l'oubli des collectivités territoriales dans ce texte.

L'amendement COM-28 est adopté. L'amendement COM-27 devient sans objet. L'amendement rédactionnel COM-29 est adopté.

Mme Sophie Joissains, rapporteur. - Avis défavorable à l'amendement   COM-23 tenons-nous en au RGPD, d'application directe.

L'amendement   COM-23 n'est pas adopté.

Mme Sophie Joissains, rapporteur. - Mon amendement COM-30 rétablit le principe selon lequel seuls les présidents des assemblées parlementaires peuvent consulter la CNIL. Celle-ci est débordée et répond déjà à de nombreuses consultations.

L'amendement COM-30 est adopté. L'amendement COM-15 devient sans objet. L'amendement de précision COM-31 est adopté, ainsi que l'amendement de cohérence rédactionnelle COM-32.

Article 1er bis

Mme Sophie Joissains, rapporteur. - Mon amendement COM-33 supprime le formalisme rigide de la procédure de consultation de la CNIL, qui n'a pas lieu d'être calqué sur celui prévu pour le Conseil d'État.

L'amendement de suppression COM-33 est adopté.

Article 2

L'amendement rédactionnel  COM-34 est adopté. L'amendement COM-16 devient sans objet, tout comme l'amendement COM-13.

Article 2 bis

Mme Sophie Joissains, rapporteur. - Mon amendement COM-35 introduit de la souplesse dans l'organisation interne des travaux de la CNIL - en accord avec elle.

L'amendement COM-35 est adopté.

Article 4

L'amendement de clarification  COM-36 est adopté.

Mme Sophie Joissains, rapporteur. - Avis favorable à l'amendement COM-17 sous réserve d'un sous-amendement : je souhaite y ajouter les mots « à peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction ».

L'amendement  COM-17 ainsi que le sous-amendement COM-91 sont adoptés.

Article 5

Mme Sophie Joissains, rapporteur. - Mon amendement COM-37 donne à la CNIL la souplesse requise pour participer aux nouveaux mécanismes de coopération entre autorités européennes.

L'amendement COM-37 est adopté, ainsi que l'amendement de précision COM-38.

Article 6

Mme Sophie Joissains, rapporteur. - Mon amendement COM-39 préserve les pouvoirs de sanction de la CNIL mais rétablit une gradation pédagogique dans l'enchaînement des mesures pouvant être prononcées.

L'amendement COM-39 est adopté.

Mme Sophie Joissains, rapporteur. - Mon amendement COM-40 exonère les collectivités territoriales et leurs groupements, au même titre que l'État, de l'amende administrative.

L'amendement COM-40 est adopté. L'amendement rédactionnel COM-41 est adopté, ainsi que l'amendement de cohérence COM-42. Les amendements rédactionnels COM-43 et COM-44 et l'amendement d'harmonisation COM-45 sont adoptés.

Mme Sophie Joissains, rapporteur. - Un grand nombre de responsables de traitement ne seront pas prêts au mois de mai. Mon amendement COM-47 propose que le produit des sanctions pécuniaires et des astreintes prononcées par la CNIL finance les actions destinées à les aider à se conformer à la nouvelle réglementation. L'argent de la protection des données doit aller à la protection des données.

L'amendement COM-47 est adopté. L'amendement de précision COM-48 rectifié est adopté.

Article 7

Mme Sophie Joissains, rapporteur. - Si l'intention est louable, la liste présentée par les auteurs de l'amendement COM-25 pour les données dites « sensibles » diffèrerait sensiblement de celle résultant du RGDP. Or, l'objet de l'article 7 est justement d'harmoniser la loi Informatique et libertés avec le règlement. Mon avis est donc défavorable.

M. Simon Sutour. - On ne peut réécrire le RGPD !

L'amendement COM-25 n'est pas adopté.

Mme Sophie Joissains, rapporteur. - Je suis également, pour des raisons similaires, défavorable à l'amendement COM-18.

L'amendement COM-18 n'est pas adopté.

Mme Sophie Joissains, rapporteur. - L'amendement COM-49 prend en compte le cas des prestataires et des stagiaires pour les traitements mis en oeuvre par les employeurs ou les administrations, qui portent sur des données biométriques nécessaires au contrôle de l'accès aux lieux de travail.

L'amendement COM-49 est adopté.

Mme Sophie Joissains, rapporteur. - L'interdiction prévue par l'amendement COM-19 me paraît bien trop générale. Le souhait de prendre en considération des situations de handicap est évidemment louable mais cet amendement est satisfait par le droit en vigueur.

L'amendement COM-19 n'est pas adopté.

Article 9

L'amendement COM-50 rectifié de coordination et de précision est adopté.

Article 11

Mme Sophie Joissains, rapporteur. - L'amendement COM-51 maintient le droit existant en matière d'autorisation des fichiers d'infractions pénales, de condamnations ou de mesures de sûreté non mis en oeuvre par l'État. Il précise également les conditions dans lesquelles des personnes morales de droit privé peuvent traiter de telles données.

L'amendement COM-51 est adopté.

Mme Sophie Joissains, rapporteur. - L'amendement COM-52 prévoit l'anonymat des magistrats et des acteurs d'une procédure judiciaire, afin d'éviter toute atteinte à la liberté d'appréciation des juridictions. Ces dispositions avaient été votées par le Sénat en octobre dernier à l'initiative du président Bas, dans le cadre de l'open data des décisions de justice.

L'amendement COM-52 est adopté.

Article 12

L'amendement COM-87 corrigeant une erreur légistique est adopté.

Mme Sophie Joissains, rapporteur. - Il est légitime que les services publics d'archives bénéficient d'un régime dérogatoire au droit commun de la protection des données personnelles. Toutefois, ces dérogations ne trouveront à s'appliquer que dans la mesure nécessaire à l'exercice de leurs missions de service public. Il paraît donc utile qu'un décret en Conseil d'État précise la portée de ces dérogations. Tel est l'objet de l'amendement COM-54.

L'amendement COM-54 est adopté.

Mme Sophie Joissains, rapporteur. - Il ne m'apparaît pas justifié de déroger au droit à la rectification de données inexactes en ce qui concerne les traitements mis en oeuvre par les services publics d'archives, raison pour laquelle je vous propose d'adopter l'amendement COM-55.

L'amendement COM-55 est adopté.

Mme Sophie Joissains, rapporteur. - L'amendement COM-53 prévoit, comme le Gouvernement l'avait initialement souhaité, qu'un décret en Conseil d'État puisse étendre ces dérogations, en tout ou partie, aux autres traitements mis en oeuvre à des fins de recherche scientifique ou historique, statistiques ou archivistiques d'intérêt public.

L'amendement COM-53 est adopté.

Article 13

L'amendement rédactionnel COM-56 est adopté.

Mme Sophie Joissains, rapporteur. - Je propose à ses auteurs de retirer l'amendement COM-1.

L'amendement COM-1 est retiré.

Mme Sophie Joissains, rapporteur. - Je suis défavorable à l'amendement COM-26.

L'amendement COM-26 n'est pas adopté.

Les amendements rédactionnel COM-57 et de coordination COM-58 sont adoptés.

Article 14 A

Mme Sophie Joissains, rapporteur. - Je vous propose, par l'amendement de suppression COM-59, de maintenir à seize ans l'âge du consentement autonome d'un mineur pour le traitement de ses données personnelles par certains services en ligne. Nous manquons en effet de données précises sur les pratiques et les risques d'Internet en la matière et souhaiterions être mieux informés sur ce sujet, c'est aussi le but de la mission menée par notre collègue Catherine Morin-Desailly.

M. Jean-Pierre Sueur. - Quels sont les arguments ?

Mme Sophie Joissains, rapporteur. - Le RGPD fixe par défaut l'âge du consentement à seize ans, en laissant aux États membres la possibilité de l'abaisser jusqu'à treize ans. L'Allemagne et le Luxembourg ont ainsi choisi seize ans, la Grande-Bretagne, treize ans. La France s'était prononcée en faveur de seize ans pendant la négociation du RGPD et lors du dépôt du projet de loi initial. Suivons notre premier choix, quitte à le modifier lorsque nous disposerons d'éléments plus précis.

M. Philippe Bas, président. - Soyons clairs : cet âge correspond à celui auquel un jeune peut consentir lui-même au traitement de ses données personnelles sur Internet. En réalité, les jeunes ont une grande habitude d'aller sur Internet, où la vérification des limites d'âge est quelque peu bancale. Cette disposition sans grande portée pratique ressort plutôt de l'ordre du symbole, et rappelle la responsabilité des parents en la matière.

M. François Pillet. - L'âge de seize ans a également l'avantage de correspondre à celui de l'émancipation éventuelle d'un mineur.

Mme Brigitte Lherbier. - Cette disposition remet-elle en cause ou modifie-t-elle d'une quelconque façon le droit à l'oubli sur Internet ?

Mme Sophie Joissains, rapporteur. - Nullement. Le sujet du consentement abordé ici est très différent. Seize ans est l'âge par défaut proposé par le RGPD.

M. Loïc Hervé. - Il existe toujours de bonnes raisons de choisir tel ou tel âge. En réalité, de nombreux jeunes ouvrent, avec une fausse date de naissance, un compte Facebook avant l'âge de treize ans. Je partage donc la position de sagesse de notre rapporteur.

M. Philippe Bas, président. - Cette question est finalement un peu un leurre...

Mme Esther Benbassa. - Tout à fait !

Les amendements identiques de suppression COM-59 et COM-11 sont adoptés.

Article 14

Mme Sophie Joissains, rapporteur. - L'amendement COM-60 procède à une réécriture globale de l'article 14 relatif aux décisions prises sur le fondement d'algorithmes. Le projet de loi autorise les décisions administratives individuelles prises sur le seul fondement d'un traitement automatisé des données, jusqu'ici prohibées. Sans méconnaitre les bénéfices liés à l'usage d'algorithmes par l'administration, il convient de l'encadrer strictement. En effet, une décision automatisée risque d'être aveugle à des circonstances particulières de l'espèce ; le recours aux algorithmes doit donc être réservé à des cas qui n'appellent aucun pouvoir d'appréciation. Un deuxième risque est lié à l'essor de l'intelligence artificielle, qui pourrait conduire à ce que des décisions administratives soient prises sur le fondement de critères que nul ne connaîtrait, l'algorithme les ayant lui-même déterminés et pondérés ; c'est le phénomène des « boîtes noires ». Un risque existe enfin que la programmation des algorithmes destinés à prendre des décisions individuelles n'aboutisse à contourner les règles de fond et de forme qui encadrent l'exercice du pouvoir réglementaire. Ainsi, dans la procédure dite « Admission post-bac », les candidatures des lycéens dans les licences universitaires étaient classées suivant des critères reposant sur une base légale fragile, qui n'avaient jamais été explicités dans un texte réglementaire et qui n'étaient même pas rendus publics. On ne saurait admettre que l'administration se défausse ainsi de ses responsabilités sur la machine, en jouant de la complexité technique et de la réputation d'infaillibilité des automates pour masquer ses propres choix.

Pour parer à ce triple risque, je vous propose de n'autoriser les décisions administratives individuelles prises sur le seul fondement de traitements automatisés que lorsque ces derniers ont pour objet d'appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement qu'un tel traitement.

Par ailleurs, la loi du 7 octobre 2016 pour une République numérique a imposé à l'administration, lorsqu'elle prend une décision individuelle sur le fondement d'un traitement algorithmique, d'en faire mention sur le texte de la décision. Or, il semble que certaines administrations rechignent à se conformer à cette nouvelle obligation de transparence... Afin de les y inciter, je vous propose que le non-respect de cette formalité soit une cause de nullité de la décision.

Je vous propose enfin de corriger une première entorse aux règles de publicité des algorithmes employés par l'administration pour fonder des décisions individuelles, issue d'un amendement du Gouvernement à la loi du 8 mars 2018 relative à l'orientation et à la réussite des étudiants. Cet amendement, déposé tardivement en séance publique au Sénat sans que notre commission de la culture ait pu se prononcer, concerne les algorithmes qu'emploieront les établissements d'enseignement supérieur pour classer les candidatures qu'ils auront reçues. Dans l'éventualité où ces algorithmes conduiraient à accepter ou à rejeter des dossiers sans examen, il n'y a aucune raison que ces établissements ne respectent pas les obligations de transparence prévues par le code des relations entre le public et l'administration. La commission de la culture soutient ma proposition.

M. Pierre-Yves Collombat. - Cet amendement est particulièrement important. Je souscris pleinement à l'intention de notre rapporteur, mais je m'interroge sur les dérogations prévues. En réalité, dans la mesure où une décision administrative peut toujours faire l'objet d'interprétations s'agissant de cas particuliers, ces dérogations à l'interdiction des algorithmes devraient être supprimées.

Mme Sophie Joissains, rapporteur. - L'administration utilise de plus en plus fréquemment les algorithmes. Mon objectif est d'encadrer les plus dangereux, les fameuses « boîtes noires », mais d'autres - je pense à ceux utilisés par l'administration fiscale - ne posent guère de difficulté. Je ne crois pas très crédible de supprimer les dérogations, compte tenu de l'évolution du fonctionnement de nos administrations et du contexte européen.

M. Pierre-Yves Collombat. - Lorsque les algorithmes ne sont qu'un outil, leur utilisation ne me choque pas. Mais ils ne doivent en aucun cas fonder une décision administrative. Un peu comme dans le métro, il est toujours mieux d'avoir un véritable conducteur à bord !

Mme Sophie Joissains, rapporteur. - Le dispositif que je vous propose limite l'utilisation d'algorithmes aux cas où l'administration ne dispose d'aucune marge d'appréciation pour prendre une décision individuelle, à l'instar de ceux dont use l'administration fiscale pour calculer l'impôt.

L'amendement COM-60 est adopté. L'amendement COM-20 devient sans objet.

Article 14 bis

Les amendements identiques de coordination COM-61 et COM-12 sont adoptés.

Article 15

Mme Sophie Joissains, rapporteur. - Parce qu'il est satisfait par le droit en vigueur, je propose à ses auteurs de retirer l'amendement COM-2.

L'amendement COM-2 est retiré.

Article additionnel avant l'article 16 A 

Mme Sophie Joissains, rapporteur. - L'amendement COM-3 prévoit que l'introduction d'une action de groupe peut donner lieu à une médiation pour rechercher une solution amiable au litige. Il est satisfait par le droit en vigueur.

L'amendement COM-3 est retiré.

Article 16 A

L'amendement de précision COM-62 est adopté.

Mme Sophie Joissains, rapporteur. - Afin que la CNIL puisse présenter ses observations devant une juridiction saisie d'une action de groupe, il convient qu'elle soit informée de l'introduction de l'instance par le demandeur. Tel est l'objet de l'amendement COM-63.

L'amendement COM-63 est adopté.

Mme Sophie Joissains, rapporteur. - Il convient de laisser aux responsables de traitement, et je pense notamment aux collectivités territoriales les plus petites ainsi qu'aux TPE-PME, le temps de se conformer aux nouvelles obligations issues du RGPD. Il ne faut pas les exposer dès son entrée en vigueur au risque d'affronter une action de groupe en réparation des préjudices causés par leurs éventuels manquements. Je vous propose donc, avec l'amendement COM-64, de prévoir un délai de deux ans.

M. Loïc Hervé. - Les associations d'élus se sont emparées du sujet. Les organisations professionnelles, notamment celles qui oeuvrent auprès des TPE-PME, devraient également mettre à profit le délai qui leur est ici offert. Il ne faudrait pas que le même problème se pose encore dans deux ans...

M. Philippe Bas, président. - Effectivement ! Nous portons une attention particulière aux collectivités territoriales et à leurs groupements mais les difficultés sont identiques pour les TPE-PME : leurs obligations sont lourdes et le risque de sanction, réel, quand bien même le projet a été imaginé pour contraindre les grands groupes. Le Gouvernement et la CNIL doivent prendre des engagements pour informer et accompagner ces acteurs.

L'amendement COM-64 est adopté.

Mme Sophie Joissains, rapporteur. - Afin d'éviter la multiplication des recours abusifs, l'amendement COM-65 prévoit un agrément préalable des associations ayant qualité pour introduire une action de groupe en matière de données personnelles, comme cela existe déjà dans les domaines de la consommation, de l'environnement ou de la santé.

L'amendement COM-65 est adopté.

Article 16

Mme Sophie Joissains, rapporteur. - L'amendement de conséquence COM-66 met en conformité l'article 16 avec le droit européen, qui ne permet pas que le mécanisme de mandatement soit réservé aux associations agréées.

L'amendement COM-66 est adopté.

Article 17

L'amendement rédactionnel COM-67 est adopté, ainsi que l'amendement de coordination COM-90.

Article additionnel après l'article 17

M. Philippe Bas, président. - L'amendement COM-14 de Claude Raynal garantit que les utilisateurs d'un terminal aient le choix de services équivalents offrant de meilleures garanties de protection des données personnelles, lorsque des services de communication au public en ligne sont préinstallés.

Mme Sophie Joissains, rapporteur. - Il poursuit un objectif louable partagé par nombre d'entre nous. Néanmoins, il s'agit avant tout d'un problème de concurrence et de protection industrielle : le droit des données personnelles ne constitue pas l'outil idoine pour y remédier ; l'Assemblée nationale s'est d'ailleurs heurtée à cette limite. Il pourrait en revanche opportunément être traité au niveau européen dans le cadre de la négociation du prochain règlement e-privacy. Je n'y suis pas, à ce stade, favorable.

M. Loïc Hervé. - Je note que les véhicules législatifs sont rares pour traiter cette question, déjà abordée par la présidente de la commission de la culture, Catherine Morin-Desailly, lors des débats relatifs à la loi pour une République numérique. Un débat aura à nouveau lieu en séance publique dans le cadre du présent projet de loi car le sujet est d'importance : Google représente l'outil par défaut sur de nombreux ordinateurs et terminaux mobiles, alors qu'il collecte et monétise les données personnelles à tout va. Qwant propose, en revanche, une démarche plus éthique et respectueuse de la protection des libertés individuelles.

Je partage certes l'analyse juridique de notre rapporteur, mais nous devons faire pression sur le Gouvernement à chaque occasion qui nous est offerte. Le ministère de la justice semble ouvert à cette question. Agissons car l'enjeu est d'importance et les véhicules législatifs trop rares !

M. Jérôme Durain. - Je souscris au plaidoyer de Loïc Hervé. Laissons-nous effectivement la possibilité d'aborder ce sujet en séance publique et de convaincre le Gouvernement !

M. Philippe Bas, président. - Vous avez qualifié, madame le rapporteur, l'objectif poursuivi par cet amendement de « louable ». Peut-être pourriez-vous faire évoluer votre position à la lumière de notre débat ?

Mme Sophie Joissains, rapporteur. - Soit ! Adoptons cet amendement sous réserve de modifications légistiques mais il conviendra de retravailler sa rédaction lors de la séance publique.

L'amendement COM-14 est adopté avec modifications.

Article 19

Les amendements rédactionnels, de précision et de coordination COM-68, COM-70, COM-71, COM-72, COM-75, COM-76 et COM-77 sont adoptés.

Les amendements COM-5, COM-6 et COM-10 sont retirés.

Mme Sophie Joissains, rapporteur. - Conformément aux possibilités offertes par la directive, l'amendement COM-69 rectifié maintient le régime actuel d'autorisation par la CNIL pour les fichiers en matière pénale. Pour des données aussi sensibles, il semble délicat de se passer d'autorisation préalable.

M. Philippe Bas, président. - Il s'agit effectivement d'une tradition française !

L'amendement COM-69 rectifié est adopté.

Mme Sophie Joissains, rapporteur. - Je suis favorable à l'amendement COM-4 rectifié.

L'amendement COM-4 rectifié est adopté.

Mme Sophie Joissains, rapporteur. - L'amendement COM-74 supprime la mention « dans la mesure du possible » relative à l'obligation de vérifier la qualité des données à caractère personnel avant leur transmission à un tiers.

L'amendement COM-74 est adopté.

Mme Sophie Joissains, rapporteur. - Je suis favorable à l'amendement COM-21.

L'amendement COM-21 est adopté.

Mme Sophie Joissains, rapporteur. - Les dispositions envisagées par l'amendement COM-7 ne sont pas prévues par la directive du 27 avril 2017 : elles s'apparenteraient donc à une sur-transposition, raison pour laquelle j'y suis défavorable.

L'amendement COM-7 n'est pas adopté.

Mme Sophie Joissains, rapporteur. - Je suis favorable aux amendements COM-8 et COM-9 relatifs au délai de rectification et d'effacement des données inexactes.

Les amendements COM-8 et COM-9 sont adoptés.

Articles additionnels après l'article 19

Mme Sophie Joissains, rapporteur. - L'amendement COM-78 rectifié crée, par prélèvement sur les recettes de l'État, une dotation pour la protection des données personnelles, dont le montant par habitant serait décroissant à mesure que la population augmente. L'objectif de cette mesure est de permettre aux collectivités territoriales et à leurs groupements de faire face aux nouvelles obligations qui leur incombent en tant que responsables de traitement et qui auront un coût élevé, insupportable pour beaucoup de petites communes et intercommunalités. À titre d'illustration, un département s'est récemment vu facturer, par un organisme privé, 28 000 euros pour la livraison de fiches techniques et une revue de conformité sur les seuls fichiers relatifs aux politiques de réinsertion et à l'aide sociale à l'enfance.

M. Philippe Bas, président. - Le dispositif proposé par notre rapporteur est astucieux... et recevable !

M. François Bonhomme. - À combien est estimé l'impact financier de cette mesure ?

Mme Sophie Joissains, rapporteur. - Selon nos calculs, à 170 millions d'euros.

M. Alain Marc. - Ce dispositif ne risque-t-il pas de conduire à une diminution des concours financiers de l'État aux collectivités, dont on nous a annoncé la stabilisation pour les trois prochaines années ?

Mme Sophie Joissains, rapporteur. - Il ne s'agit pas de la même enveloppe.

M. Pierre-Yves Collombat. - Comment avez-vous réussi à passer sous les fourches caudines de l'article 40 de la Constitution ?

Mme Sophie Joissains, rapporteur. - Il ne faut pas confondre les prélèvements sur recettes, qui peuvent être prévus à condition d'être gagés, et les augmentations de charges, toujours interdites. Il s'agit toutefois essentiellement d'un amendement d'appel...

M. Philippe Bas, président. - Le régime juridique des amendements parlementaires sur les recettes diffère effectivement de celui applicable aux charges.

L'amendement COM-78 rectifié est adopté.

Mme Sophie Joissains, rapporteur. - L'amendement COM-79 a pour objet de faciliter la mutualisation des services support des collectivités territoriales et de leurs groupements, en particulier s'agissant de leurs services informatiques. Ces structures sont en effet susceptibles de fournir un délégué à la protection des données commun à plusieurs collectivités ou organismes publics.

M. Loïc Hervé. - Cette proposition, qui favorise la mutualisation des moyens des différentes structures, est essentielle ! Agences départementales, centres de gestion, associations départementales des maires..., les possibilités sont nombreuses. Les collectivités territoriales voient affluer les offres de prestataires privés, qu'il ne faut pas exclure par principe, mais la mutualisation est souvent plus adaptée.

M. André Reichardt. - Pourquoi ces prestations ne seraient-elles pas soumises au droit des marchés publics ?

Mme Sophie Joissains, rapporteur. - Les prestations de services internes à la sphère publique, dits « in house », sont en grande partie soustraites aux obligations de publicité et de mise en concurrence.

M. Alain Richard. - Les critères de la prestation intégrée étant fixés par le droit européen, j'attire votre attention sur le fait que les prestations offertes par des associations d'élus en sont exclues.

M. Loïc Hervé. - Les associations départementales de maires jouent souvent un rôle majeur en matière d'information des élus, mais elles n'entrent effectivement pas dans le champ de la proposition de notre rapporteur.

L'amendement COM-79 est adopté.

Article 20

M. Philippe Bas, président. - Le Gouvernement doit promulguer ce texte d'ici le mois de mai, mais son travail est inachevé et manque cruellement de lisibilité. Pour y remédier, il se propose d'intervenir légistiquement par voie d'ordonnance. Pourtant, il disposait du temps nécessaire à l'élaboration d'un texte convenable.

Mme Sophie Joissains, rapporteur. - Pour signifier notre désapprobation concernant ces méthodes peu respectueuses du Parlement, l'amendement COM-89 supprime l'habilitation.

M. Simon Sutour. - J'y suis favorable. Nous devons marquer le coup face à tant d'impréparation, même si la France, traditionnellement très en retard en matière de transposition, progresse dans ce domaine. En outre, le texte d'une habilitation doit être clair et précis, ce qui n'est pas ici le cas.

Mme Sophie Joissains, rapporteur. - Nous devons inciter le Gouvernement à nous présenter des garanties, notamment au bénéfice des collectivités territoriales.

M. Jean-Pierre Sueur. - Je comprends qu'il s'agit là d'un acte politique dans un contexte de débat sur l'usage des ordonnances, mais je ne suis pas opposé à cet outil lorsqu'il s'agit de codification.

M. Loïc Hervé. - Dans le cas présent, ce ne sont pas les ordonnances qui posent problème, mais la raison pour laquelle le Gouvernement souhaite y avoir recours : il n'a pas su tenir les délais ! Quel mépris pour le travail du Parlement !

Mme Sophie Joissains, rapporteur. - Une codification peut évidemment être réalisée par ordonnance, mais, alors que les collectivités territoriales et les TPE-PME sont directement concernées par le texte, rien n'a été fait en amont auprès d'elles et le Parlement a été saisi au dernier moment. Cette situation n'est pas acceptable. Elle suscite une vive inquiétude quant au contenu de l'ordonnance, qui devrait être prise à droit constant, respecter les collectivités et garantir l'applicabilité des mesures dans les outre-mer.

M. Philippe Bas, président. - Au-delà de la codification, l'ordonnance doit procéder à un toilettage complet de la loi de 1978. L'exigence de droit constant n'est nullement mentionnée à ce stade.

M. Alain Richard. - La formulation générale s'agissant du droit constant autorise le rédacteur à réaliser les corrections indispensables en droit européen et à supprimer les dispositions obsolètes. Il faut reprendre cette formule, d'autant que la loi de 1978 réformée en 2004 par le droit européen de la protection des données est d'excellente qualité.

L'amendement de suppression COM-89 est adopté et l'amendement COM-22 devient sans objet.

Article 20 bis

Mme Sophie Joissains, rapporteur. - Je suis favorable à l'amendement COM-24.

M. Christophe-André Frassa. - Je vous remercie ! La loi pour une République numérique prévoyait la portabilité des données non personnelles et leur possible récupération par les consommateurs. L'article 20 bis, introduit par l'Assemblée nationale, tend à supprimer cette disposition. Mon amendement a pour objet de la maintenir car elle permet de limiter la puissance des plateformes au profit des consommateurs.

L'amendement de suppression COM-24 est adopté.

Article 21

Les amendements de coordination et de cohérence COM-88 et COM-80 sont adopté.

Article 23

L'amendement COM-81 supprimant l'allongement du délai de réponse et l'amendement COM-82 de clarification sont adoptés.

Mme Sophie Joissains, rapporteur. - L'amendement COM-83 vise à offrir les mêmes droits aux personnes relaxées qu'à celles bénéficiant d'un classement sans suite pour insuffisance de charges.

M. André Reichardt. - Pourquoi devrait-on limiter l'effacement des données personnelles à certains types de non-lieu ou de décisions de classement sans suite ?

Mme Sophie Joissains, rapporteur. - Je vous propose de modifier la rédaction de mon amendement pour prendre en considération votre remarque.

M. André Reichardt. - Pourquoi, en outre, prévoir une exception à cet effacement au bon vouloir du procureur de la République ?

Mme Sophie Joissains, rapporteur. - Le procureur peut souhaiter que les informations sur un individu soient conservées dans l'éventualité d'enquêtes futures.

L'amendement COM-83 rectifié est adopté.

Mme Sophie Joissains, rapporteur. - L'amendement COM-84 clarifie le fait que, pour les personnes condamnées, la demande d'effacement ou de rectification peut être formée lorsque ne figure plus aucune mention de nature pénale dans le bulletin n° 2 du casier judiciaire en lien avec la demande d'effacement. En effet, le casier judiciaire mentionne également des décisions disciplinaires, commerciales ou administratives, qui n'ont pas vocation à empêcher une personne de demander l'effacement des données relatives aux infractions pénales.

L'amendement COM-84 est adopté.

Article 23 bis

L'amendement de coordination COM-85 est adopté.

Article 24

Mme Sophie Joissains, rapporteur. - Par cohérence, l'amendement COM-86 reporte de deux ans l'entrée en vigueur de l'article 16 A du projet de loi relatif à l'action de groupe en réparation de préjudices subis en matière de données personnelles.

L'amendement COM-86 est adopté.

Le projet de loi est adopté dans la rédaction issue des travaux de la commission.

Le sort des amendements examinés par la commission est retracé dans le tableau suivant :

Auteur

Objet

Sort de l'amendement

Article 1er
Missions et outils de la Commission nationale de l'informatique et des libertés

Mme JOISSAINS, rapporteur

28

Meilleure prise en compte des collectivités territoriales par la CNIL

Adopté

M. PATRIAT

27

Meilleure information des collectivités territoriales par la CNIL

Satisfait ou sans objet

Mme JOISSAINS, rapporteur

29

Rédactionnel

Adopté

M. RAYNAL

23

Possibilité pour la CNIL de prescrire certaines mesures complémentaires concernant la finalité des données biométriques 

Rejeté

Mme JOISSAINS, rapporteur

30

Consultation de la CNIL par les présidents des assemblées parlementaires sur une proposition de loi

Adopté

M. RAYNAL

15

Possibilité de saisine de la CNIL par tout parlementaire et à tout moment

Satisfait ou sans objet

Mme JOISSAINS, rapporteur

31

Précision

Adopté

Mme JOISSAINS, rapporteur

32

Cohérence rédactionnelle

Adopté

Article 1er bis
Procédure de saisine de la CNIL sur certaines propositions de loi

Mme JOISSAINS, rapporteur

33

Suppression de l'article

Adopté

Article 2
Compétences des personnalités qualifiées nommées
par les présidents de l'Assemblée nationale et du Sénat

Mme JOISSAINS, rapporteur

34

Rédactionnel

Adopté

M. RAYNAL

16

Compétences des personnalités qualifiées

Satisfait ou sans objet

M. Henri LEROY

13

Non-renouvellement du mandat de Président de la CNIL

Satisfait ou sans objet

Article 2 bis
Délégation de certaines missions au Secrétaire général et publicité de l'ordre du jour des réunions plénières

Mme JOISSAINS, rapporteur

35

Souplesse dans l'organisation interne des travaux de la CNIL

Adopté

Article 4
Modalités d'exercice des pouvoirs de contrôle de la CNIL

Mme JOISSAINS, rapporteur

36

Clarification

Adopté

M. RAYNAL

17

Interdiction que l'utilisation d'une identité d'emprunt par les agents de la CNIL permette d'inciter à commettre une infraction

Adopté

Mme JOISSAINS, rapporteur

91

Rédactionnel

Adopté

Article 5
Procédure de coopération entre la CNIL
et d'autres autorités de contrôle de l'Union européenne

Mme JOISSAINS, rapporteur

37

Souplesses d'organisation de la CNIL (coopération européenne)

Adopté

Mme JOISSAINS, rapporteur

38

Précision

Adopté

Article 6
Mesures correctrices et sanctions

Mme JOISSAINS, rapporteur

39

Meilleure gradation des sanctions

Adopté

Mme JOISSAINS, rapporteur

40

Exonération pour les collectivités territoriales de l'amende administrative et de l'astreinte

Adopté

Mme JOISSAINS, rapporteur

41

Rédactionnel 

Adopté

Mme JOISSAINS, rapporteur

42

Cohérence rédactionnelle

Adopté

Mme JOISSAINS, rapporteur

43

Rédactionnel

Adopté

Mme JOISSAINS, rapporteur

44

Rédactionnel

Adopté

Mme JOISSAINS, rapporteur

45

Harmonisation 

Adopté

Mme JOISSAINS, rapporteur

47

Affectation du produit des sanctions de la CNIL

Adopté

Mme JOISSAINS, rapporteur

48 rect.

Coordination et précision 

Adopté

Article 7
Traitement des données personnelles dites « sensibles »

M. PATRIAT

25

Réécriture de la liste des données sensibles dont le traitement est normalement interdit, sauf exceptions

Rejeté

M. RAYNAL

18

Modification de la définition des données biométriques

Rejeté

Mme JOISSAINS, rapporteur

49

Prise en compte du cas des prestataires et des stagiaires

Adopté

M. RAYNAL

19

Obligation de fournir une alternative non-biométrique à tout traitement de données biométriques

Rejeté

Article 9
Suppression des régimes de formalités administratives préalables, sauf exceptions

Mme JOISSAINS, rapporteur

50

Coordination et précision

Adopté

Article 11
Traitements de données relatives aux condamnations pénales, aux infractions ou mesures de sûreté

Mme JOISSAINS, rapporteur

51

Encadrement des fichiers liés aux condamnations pénales

Adopté

Mme JOISSAINS, rapporteur

52

Encadrement de l'open data des décisions de justice

Adopté

Article 12
Traitements à des fins archivistiques, scientifiques, historiques et statistiques

Mme JOISSAINS, rapporteur

87

Correction d'une erreur légistique

Adopté

Mme JOISSAINS, rapporteur

54

Détermination par décret en Conseil d'État des modalités d'application des dérogations aux droits des personnes concernées par des traitements de données à des fins archivistiques

Adopté

Mme JOISSAINS, rapporteur

55

Suppression de la dérogation au droit de rectification de données inexactes

Adopté

Mme JOISSAINS, rapporteur

53

Détermination par décret en Conseil d'État des dérogations applicables aux traitements autres que ceux mis en oeuvre par les services d'archives publiques.

Adopté

Article 13
Données de santé

Mme JOISSAINS, rapporteur

56

Rédactionnel

Adopté

M. DARNAUD

1

Modalités d'exercice de certains droits par le titulaire de l'autorité parentale

Retiré

M. PATRIAT

26

Conditions de recueil du consentement en cas de traitement de données dans le domaine de la santé à des fins de recherche

Rejeté

Mme JOISSAINS, rapporteur

57

Rédactionnel

Adopté

Mme JOISSAINS, rapporteur

58

Coordinations

Adopté

Article 14 A
Âge du consentement autonome des mineurs au traitement de leurs données par certains services en ligne

Mme JOISSAINS, rapporteur

59

Suppression de l'article et maintien à 16 ans de l'âge pour le consentement autonome d'un mineur dans le cadre d'une une offre directe de services de la société de l'information

Adopté

M. Henri LEROY

11

Suppression de l'article et maintien à 16 ans de l'âge pour le consentement autonome d'un mineur dans le cadre d'une une offre directe de services de la société de l'information

Adopté

Article 14
Décisions prises sur le fondement d'algorithmes

Mme JOISSAINS, rapporteur

60

Renforcement des garanties en cas de décision prise sur le seul fondement de traitements automatisés

Adopté

M. RAYNAL

20

Communication aux usagers du code source et du cahier des charges des algorithmes employés par l'administration pour prendre des décisions individuelles

Satisfait ou sans objet

Article 14 bis
Information des mineurs de moins de 15 ans

Mme JOISSAINS, rapporteur

61

Coordination

Adopté

M. Henri LEROY

12

Coordination

Adopté

Article 15
Dérogations à l'obligation de divulgation
de certaines violations de données personnelles

M. DARNAUD

2

Non communicabilité au public des documents relatifs aux notifications de failles

Retiré

Division additionnelle avant l'article 16 A

M. DARNAUD

3

Médiation préalable en cas d'action de groupe

Retiré

Article 16 A
Action de groupe en réparation

Mme JOISSAINS, rapporteur

62

Extension de l'objet de l'action de groupe aux manquements au règlement européen

Adopté

Mme JOISSAINS, rapporteur

63

Information de la Commission nationale de l'informatique et des libertés

Adopté

Mme JOISSAINS, rapporteur

64

Limitation de la responsabilité du responsable de traitement aux dommages résultant de manquements postérieurs au 25 mai 2020

Adopté

Mme JOISSAINS, rapporteur

65

Agrément des associations ayant qualité à introduire une action de groupe

Adopté

Article 16
Recours par mandataire

Mme JOISSAINS, rapporteur

66

Dispense d'agrément pour les associations mandataires

Adopté

Article 17
Voie de recours ouverte à la CNIL aux fins d'apprécier la validité
des décisions prises par la Commission européenne
relativement au transfert de données vers des États tiers

Mme JOISSAINS, rapporteur

67

Rédactionnel

Adopté

Mme JOISSAINS, rapporteur

90

Coordination

Adopté

Article additionnel après l'article 17

M. RAYNAL

14

Nullité de certaines clauses contractuelles ayant pour effet de favoriser une violation du RGPD

Adopté

Article 19
Traitements de données à caractère personnel en matière pénale

Mme JOISSAINS, rapporteur

68

Clarification

Adopté

Mme JOISSAINS, rapporteur

69

Maintien du régime actuel d'autorisation par la CNIL pour des fichiers visant à prévenir ou à réprimer des infractions

Adopté

Mme JOISSAINS, rapporteur

70

Précision

Adopté

M. DARNAUD

5

Encadrement des délais de la CNIL en cas de consultation préalable s'agissant d'un traitement dont l'analyse d'impact a démontré un risque élevé pour la protection des données

Retiré

Mme JOISSAINS, rapporteur

71

Encadrement des traitements « ultérieurs »

Adopté

Mme JOISSAINS, rapporteur

72

Cohérence rédactionnelle

Adopté

M. DARNAUD

4 rect.

Inclusion des mesures de sécurité du traitement dans le contrat de sous-traitance

Adopté

Mme JOISSAINS, rapporteur

74

Renforcement de l'obligation formelle de vérifier la qualité des données

Adopté

M. RAYNAL

21

Affirmation de l'obligation de distinguer dans un fichier les données concernant les victimes des données concernant les mis en cause

Adopté

M. DARNAUD

6

Précision concernant la sécurité des traitements

Retiré

M. DARNAUD

7

Précision concernant la désignation du délégué à la protection des données personnelles

Rejeté

Mme JOISSAINS, rapporteur

75

Amendement rédactionnel

Adopté

M. DARNAUD

8

Fixation à un mois du délai maximal pour rectifier les données inexactes

Adopté

M. DARNAUD

9

Fixation à un mois du délai maximal pour effacer des données inexactes

Adopté

Mme JOISSAINS, rapporteur

76

Rédactionnel

Adopté

M. DARNAUD

10

Précision des montants exigés en cas de demande abusive par renvoi à un arrêté

Retiré

Mme JOISSAINS, rapporteur

77

Précision

Adopté

Articles additionnels après l'article 19

Mme JOISSAINS, rapporteur

78 rect.

Dotation communale et intercommunale pour la protection des données personnelles

Adopté

Mme JOISSAINS, rapporteur

79

Mutualisation des services fonctionnels des collectivités territoriales

Adopté

Article 20
Habilitation à réviser par ordonnance la législation
relative à la protection des données personnelles

Mme JOISSAINS, rapporteur

89

Suppression de l'article

Adopté

M. RAYNAL

22

Précision du champ de l'habilitation

Satisfait ou sans objet

Article 20 bis
Droit à la portabilité des données personnelles
et des données non personnelles

M. FRASSA

24

Suppression de l'article et maintien du droit à la portabilité des données non personnelles

Adopté

Article 21
Coordinations

Mme JOISSAINS, rapporteur

88

Coordination

Adopté

Mme JOISSAINS, rapporteur

80

Coordination

Adopté

Article 23
Modification du cadre légal des traitements d'antécédents judiciaires

Mme JOISSAINS, rapporteur

81

Suppression de l'allongement du délai de réponse

Adopté

Mme JOISSAINS, rapporteur

82

Clarification de l'état du droit concernant le droit à l'effacement des données collectées illégalement

Adopté

Mme JOISSAINS, rapporteur

83

Droits des personnes faisant l'objet d'un classement sans suite

Adopté

Mme JOISSAINS, rapporteur

84

Élargissement des possibilités de former des demandes d'effacement ou de rectification

Adopté

Article 23 bis
Coordinations

Mme JOISSAINS, rapporteur

85

Coordination

Adopté

Article 24
Entrée en vigueur au 25 mai 2018

Mme JOISSAINS, rapporteur

86

Report de deux ans de l'entrée en vigueur de l'action de groupe en réparation

Adopté

La réunion est close à 11 heures.