Droit à la vie privée à l'heure du numérique (Suite)
M. le président. - Nous reprenons la discussion de la proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique, présentée par M. Yves Détraigne et Mme Anne-Marie Escoffier.
Discussion des articles (Suite)
M. le président. - Dans la discussion des articles, nous en étions parvenus à l'amendement n°29 à l'article 2.
Article 2
Le deuxième alinéa de l'article 2 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée :
« Tout numéro identifiant le titulaire d'un accès à des services de communication au public en ligne est visé par le présent alinéa. »
M. Jean-Marie Bockel, secrétaire d'État. - En discussion générale, j'ai rappelé que la notion de donnée à caractère personnel, posée dans la loi Informatique et libertés, est suffisamment générale pour s'adapter aux technologies nouvelles. Cet article rompt avec cette logique en cherchant à énumérer lesdites données personnelles. Cette démarche semble illusoire, une liste ne couvrant jamais tous les cas de figure. En outre, l'adresse IP, je m'en suis déjà expliqué, ne doit pas être assimilée à une donnée personnelle, comme nous y invite la nouvelle directive européenne sur la vie privée et les communications électroniques. En bref, cet article risque de rigidifier la loi et d'aller à l'encontre du but recherché : faudra-t-il, à l'avenir, qu'une information soit expressément mentionnée par la loi comme donnée personnelle pour qu'elle bénéficie de la protection de la loi Informatique et libertés ? D'où cet amendement de suppression de l'article.
M. Christian Cointat, rapporteur. - Monsieur le ministre, j'ai l'impression que vous parlez de la rédaction initiale du texte, et non de la version issue des travaux de la commission... Dans un monde en mouvement, il faut bouger à moins de se condamner à l'obsolescence. La loi doit donc évoluer. Le texte de la commission ne vise pas des adresses, qu'elles soient IP ou non, non plus que des numéros, mais des « numéros identifiant le titulaire d'un accès à des services de communication au public en ligne » afin de garantir à l'usager la protection qu'il est en droit d'attendre. Enfin, et surtout, le législateur doit combler un vide juridique : certains tribunaux considèrent l'adresse IP comme une donnée personnelle, d'autres non et la jurisprudence est d'autant moins claire que la Cour de cassation a refusé de se prononcer. Au nom de la commission, je suis donc contraint de donner un avis défavorable.
Mme Anne-Marie Escoffier, coauteur de la proposition de loi. - De fait, la commission a modifié le texte initial, avec notre accord, en proposant le terme de numéro identifiant qui ne présente aucune difficulté ou gêne dans l'observation de la réglementation. Aux côtés du rapporteur, nous sommes extrêmement attachés à cette disposition protectrice !
L'amendement n°29 n'est pas adopté.
L'article 2 est adopté.
L'article 2 bis est adopté, de même que l'article 2 ter.
Article 3
I. - Après le chapitre IV de la loi n° 78-17 du 6 janvier 1978 précitée, il est inséré un chapitre IV bis ainsi rédigé :
« Chapitre IV bis
« Le correspondant « informatique et libertés »
« Art. 31-1. - Lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel qui relève du régime d'autorisation en application des articles 25, 26 ou 27 ou pour lequel plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en oeuvre, ladite autorité ou ledit organisme désigne, en son sein ou dans un cadre mutualisé, un correspondant « informatique et libertés ». Toute autorité publique ou organisme privé qui ne remplit pas les conditions précédentes peut toutefois désigner un tel correspondant, y compris dans un cadre mutualisé.
« Le correspondant est chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi et d'informer et de conseiller l'ensemble des personnes travaillant pour le compte de l'autorité ou de l'organisme sur l'ensemble des questions de protection des données à caractère personnel.
« Le correspondant bénéficie des qualifications requises pour exercer ces missions. Il tient une liste des traitements effectués, régulièrement mise à jour et immédiatement accessible à toute personne en faisant la demande. Il ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il saisit la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. Il établit un rapport annuel d'activité et le transmet à la Commission.
« La désignation du correspondant est notifiée à la Commission qui peut la refuser s'il ne remplit pas les conditions de compétence visées aux deux alinéas précédents. Cette désignation est portée à la connaissance des instances représentatives du personnel.
« En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l'informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission. »
II. - (Non modifié) Le III de l'article 22 est ainsi rédigé :
« III. - Les traitements pour lesquels le responsable a désigné un correspondant « informatique et libertés », dont le statut et les missions sont définis à l'article 31 bis, sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un État non membre de l'Union européenne est envisagé. »
M. le président. - Amendement n°30, présenté par le Gouvernement.
Supprimer cet article.
M. Jean-Marie Bockel, secrétaire d'État. - La désignation d'un correspondant « informatique et libertés » est actuellement une faculté et doit le rester afin de conserver au dispositif son équilibre. La rendre obligatoire, comme le propose la commission, soulève de nombreuses questions quand cette institution est d'autant plus efficace, avait rappelé M. Türk lorsqu'il rapportait la loi du 6 août 2004, qu'elle repose sur le volontariat. Tout d'abord, le seuil à partir duquel une telle personne devra être nommée est malaisé à identifier : comment recenser le nombre de personnes chargées de la mise en oeuvre du traitement dans un organisme ? Ensuite, prévoir que la Cnil devra approuver le choix de la personne désignée, c'est priver l'organisme d'une élémentaire autonomie de gestion. De plus, le correspondant serait tenu d'informer la Cnil de toute difficulté rencontrée dans l'exercice de ses missions, ce qui revient à donner à la Cnil un pouvoir général d'intrusion dans les affaires internes de l'organisme concerné. En somme, un rôle intrusif qui confine à l'inapplicabilité. Enfin, avec un tel dispositif, il faudra désigner de très nombreux correspondants dans les services de l'État, des collectivités territoriales, voire dans les assemblées délibératives. Cela alourdira la tâche de la Cnil et créera une confusion avec les correspondants créés par la loi du 6 janvier 1978, interlocuteurs privilégiés du commissaire du Gouvernement auprès de la Cnil. Mieux vaut donc recourir à ce contrôle interne qu'est le correspondant « informatique et libertés » dans les seules administrations et entreprises volontaires et conserver une séparation claire entre les obligations du responsable de traitement et le contrôle du respect de ces obligations par un organisme extérieur. A cet égard, je rappelle que la Cnil dispose de pouvoirs de contrôle a posteriori renforcés depuis la loi du 6 août 2004. Nous proposons donc la suppression de l'article.
M. Christian Cointat, rapporteur. - Quel est mon embarras de dire l'opposition de la commission à cet amendement ! (M. Bernard Frimat ironise) Cet article 3 est l'un des coeurs du dispositif. Avec l'accord des auteurs de la proposition de loi, nous l'avons remanié pour donner au correspondant une fonction nouvelle : celui-ci ne doit plus être l'espion de la Cnil, mais l'assurance pour toute personne traitant des fichiers importants que tout se passera bien. Avoir rendu l'assurance automobile obligatoire a été un progrès, il en sera de même pour le correspondant qui ne devra pas être vu comme synonyme de contrôles tatillons restreignant la liberté d'entreprendre, mais comme une protection pour les citoyens ; en retour, il sera mieux informé de la politique de la Cnil, et donc plus efficace. Bref, par cet article 3, nous entendons opérer un changement des esprits : le correspondant Cnil ne doit plus être un représentant de la Cnil, mais un partenaire.
Il doit être le facilitateur, pour reprendre le néologisme que j'ai utilisé lors de la discussion générale ; le conseiller, non le contrôleur ; celui qui aide, non celui qui bloque.
Si l'institution d'un CIL n'est pas rendue obligatoire, l'état d'esprit ne changera pas.
Pourquoi avons-nous mentionné le chiffre de 50 personnes ? Parce que votre décret autorise la mutualisation à partir de ce seuil. La commission pensait que le Gouvernement savait ce qu'il faisait, mais elle est ouverte aux adaptations. Ainsi, elle s'en remettra à la sagesse de notre assemblée à propos d'un amendement qui proposera de relever le seuil à 100 personnes.
Il reste que pour les raisons explicitées, la commission est défavorable à l'amendement n°30.
M. Yves Détraigne, coauteur de la proposition de loi. - Le CIL ne représentera pas une charge pour les entreprises, car il sera ordinairement choisi parmi les personnes déjà sur place. Chargé de diffuser une culture de protection des données nominatives, il garantira à l'entreprise que nul ne bricole des données sensibles. C'est une assurance pour l'entreprise.
Mme Anne-Marie Escoffier, coauteur de la proposition de loi. - Je ne vois pas en quoi l'obligation de nommer un CIL lui conférerait un « caractère intrusif ».
Dans certaines administrations, il existe des « délégués » qui assurent exactement la même mission. Pourquoi sacrifier la création des CIL, que les collectivités territoriales demandent par ailleurs ? Ils garantissent le bon fonctionnement des systèmes informatisés.
M. Charles Gautier. - Nous sommes à l'orée d'une époque nouvelle, face à un domaine encore à défricher. Notre tâche est donc difficile.
Je partage les observations de mes collègues sur l'assurance que le CIL apportera.
Mais on peut aussi raisonner par analogie avec le garant de l'hygiène et de la sécurité au travail, que les entreprises ont dû désigner en leur sein. Cette tâche n'est pas confiée à des inspecteurs du travail. Nous examinons ici un cas de figure analogue. Il ne s'agit pas de petites entreprises pour qu'en leur sein au moins 50 personnes aient à connaître des fichiers nominatifs informatisés !
L'amendement n°30 n'est pas adopté.
M. le président. - Amendement n°8, présenté par Mme Troendle et MM. Béteille, Buffet, Lefèvre et Pillet.
Alinéa 4, première phrase
Remplacer les mots :
cinquante personnes
par les mots :
cent personnes
Mme Catherine Troendle. - L'article 3 de la proposition de loi oblige toute personne morale qui recourt à un traitement de données à caractère personnel, effectué par plus de 50 personnes, à désigner un correspondant « informatique et libertés », choisi en son sein ou dans un cadre mutualisé.
Nous souhaitons relever le seuil de 50 personnes. En effet, la rédaction actuelle obligerait la Cnil à gérer plus de CIL qu'elle ne saurait le faire. De surcroît, la directive européenne de 1995 était fondée sur le volontariat, indispensable à l'établissement d'un lien de confiance.
Il est au demeurant très souhaitable d'encourager vivement un recours volontaires à cette institution.
M. Christian Cointat, rapporteur. - Ce qui est important, ce sont les flux, mais il faut bien aussi prendre en compte le nombre de personnes.
Nous avons retenu un seuil déjà inscrit dans un décret, mais qui avait aussi la vertu d'inciter à rationaliser l'accès aux fichiers. Ainsi, un chef d'entreprise ne souhaitant pas nommer un CIL pourra utilement restreindre l'accès aux fichiers. Ce sera déjà un progrès.
Le Sénat dispose actuellement d'une CIL. Il s'en porte très bien.
L'essentiel étant aujourd'hui d'engager un changement d'état d'esprit, la commission s'en remet à la sagesse à propos de l'amendement.
M. Jean-Marie Bockel, secrétaire d'État. - L'excellent plaidoyer de Mme Troendle montre qu'instituer des CIL n'a rien d'anodin. Je partage sa préférence pour le volontariat. Avis favorable.
L'amendement n°8 est adopté.
L'amendement n°17 est retiré.
M. le président. - Amendement n°10 rectifié bis, présenté par MM. Amoudry, Badré et Jean-Léonce Dupont, Mme Payet et M. Soulage.
Alinéa 7, première phrase
Après les mots :
à la Commission
supprimer les mots :
qui peut la refuser s'il ne remplit pas les conditions de compétence visées aux deux alinéas précédents
M. Jean-Paul Amoudry. - L'alinéa 7 de l'article 3 autorise la Cnil à refuser la désignation d'un CIL qui ne posséderait pas les compétences requises.
Comment la Cnil pourrait-elle déterminer les critères objectifs nécessaires à cette évaluation ? L'ancienneté de l'intéressé, ses diplômes ou son poste devront être mis en relation avec la taille de l'organisme concerné, son activité et la nature des données traitées. Le responsable de traitement est donc le mieux placé. L'éventuelle opposition de la Cnil pourrait être vécue par celui-ci comme une perte peu souhaitable de contrôle sur l'organisation de ses services.
M. Christian Cointat, rapporteur. - Le texte autorise seulement la Cnil à refuser la nomination d'un CIL. Elle ne s'érigera pas en directrice des ressources humaines de toutes les entreprises de France et de Navarre ! Encore faut-il que le CIL soit à même d'assurer l'interface entre la Cnil et l'entreprise.
La Cnil devra donc pouvoir s'opposer à un abus manifeste. L'obligation de nommer un CIL peut exposer un chef d'entreprise à la tentation de désigner à ce poste une personne qui n'y connaît rien. A défaut de protection contre cet effet pervers, tout le discours que j'ai tenu sur l'assurance apportée aux gestionnaires et la protection de nos concitoyens tomberait à l'eau.
Les motivations des auteurs de l'amendement sont pertinentes, mais la Cnil doit pouvoir s'opposer à une nomination manquant de sérieux. Nul besoin de dossier professionnel pour s'apercevoir que l'interlocuteur est parfaitement incompétent !
Je souhaite le retrait de l'amendement.
M. Jean-Marie Bockel, secrétaire d'État. - Après avoir écouté avec attention la brillante argumentation du rapporteur, j'éprouve des doutes confirmés.
Au fond, ce correspondant dépendra de la Cnil.
M. Christian Cointat, rapporteur. - Pas du tout, il sera l'interface...
M. Jean-Marie Bockel, secrétaire d'État. - Donner un droit de véto à la Cnil, c'est lui donner un droit d'ingérence. Sagesse positive.
M. Jean-Paul Amoudry. - La faculté donnée à la Cnil de s'opposer à la désignation du correspondant pourra être interprétée, s'il n'y a pas de refus de sa part, pour un accord tacite et si d'aventure la personne choisie ne donne pas satisfaction, la responsabilité de la Cnil serait engagée. Je maintiens mon amendement d'autant que l'avis du ministre conforte ma position.
L'amendement n°10 rectifié bis n'est pas adopté.
M. le président. - Amendement n°15, présenté par M. C. Gautier et les membres du groupe socialiste, apparentés et rattachés.
Alinéa 8, seconde phrase
Remplacer le mot :
consultation
par les mots :
avis conforme
M. Charles Gautier. - Dans le cas de démission d'office du correspondant informatique et liberté, le texte initial de la proposition de loi faisait le choix d'un avis conforme de la Cnil. La commission des lois remplace l'avis conforme par le terme de consultation, c'est-à-dire d'avis simple. Pourtant, l'indépendance du CIL est une exigence posée par l'article 22 (III) de la loi de 1978 et l'avis conforme garantit substantiellement cette indépendance. C'est pourquoi il faut rétablir l'exigence d'avis conforme. En outre, la notion de « salarié protégé » relève du droit social et, en l'occurrence, n'est pas adaptée.
M. Christian Cointat, rapporteur. - Décidément, ce texte m'appelle à défendre une thèse et son contraire, tant je dois rester sur la ligne de crête d'équilibre entre les deux. Je reprendrai donc ici l'argument de M. Amoudry : il n'est pas question que la Cnil devienne un DRH. Donc un avis conforme serait excessif. S'il lui est possible de récuser une personne incompétente, il ne faut pas tomber dans l'excès inverse car le chef d'entreprise reste le patron. Retrait ou rejet.
L'amendement n°15, repoussé par le Gouvernement, n'est pas adopté.
M. le président. - Amendement n°39, présenté par M. Cointat, au nom de la commission des lois.
Alinéa 10
Remplacer la référence :
31 bis
par la référence :
31-1
M. Christian Cointat, rapporteur. - Correction d'une erreur matérielle.
M. Jean-Marie Bockel, secrétaire d'État. - Sagesse.
L'amendement n°39 est adopté.
L'amendement n°11 rectifié est retiré.
L'article3, modifié, est adopté.
Article 4
L'article 26 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Art. 26. - I. - Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et qui intéressent la sûreté de l'État, la défense, la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, ne peuvent être autorisés qu'à la condition de répondre à une ou plusieurs des finalités suivantes :
« 1° Permettre aux services de renseignement d'exercer leurs missions ;
« 2° Permettre aux services de police judiciaire d'opérer des rapprochements entre des infractions susceptibles d'être liées entre elles, à partir des caractéristiques de ces infractions, afin de faciliter l'identification de leurs auteurs ;
« 3° Faciliter par l'utilisation d'éléments biométriques ou biologiques se rapportant aux personnes, d'une part la recherche et l'identification des auteurs de crimes et de délits, d'autre part la poursuite, l'instruction et le jugement des affaires dont l'autorité judiciaire est saisie ;
« 4° Répertorier les personnes et les objets signalés par les services habilités à alimenter le traitement, dans le cadre de leurs missions de police administrative ou judiciaire, afin de faciliter les recherches des services enquêteurs et de porter à la connaissance des services intéressés la conduite à tenir s'ils se trouvent en présence de la personne ou de l'objet ;
« 5° Faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ;
« 6° Faciliter la diffusion et le partage des informations détenues par différents services de police judiciaire, sur les enquêtes en cours ou les individus qui en font l'objet, en vue d'une meilleure coordination de leurs investigations ;
« 7° Centraliser les informations destinées à informer le Gouvernement et le représentant de l'État afin de prévenir les atteintes à la sécurité publique ;
« 8° Procéder à des enquêtes administratives liées à la sécurité publique ;
« 9° Faciliter la gestion administrative ou opérationnelle des services de police et de gendarmerie ainsi que des services chargés de l'exécution des décisions des juridictions pénales en leur permettant de consigner les événements intervenus, de suivre l'activité des services et de leurs agents, de suivre les relations avec les usagers du service, d'assurer une meilleure allocation des moyens aux missions et d'évaluer les résultats obtenus ;
« 10° Organiser le contrôle de l'accès à certains lieux nécessitant une surveillance particulière ;
« 11° Recenser et gérer les données relatives aux personnes ou aux biens faisant l'objet d'une même catégorie de décision administrative ou judiciaire ;
« 12° Faciliter l'accomplissement des tâches liées à la rédaction, à la gestion et à la conservation des procédures administratives et judiciaires et assurer l'alimentation automatique de certains fichiers de police ;
« 13° Recevoir, établir, conserver et transmettre les actes, données et informations nécessaires à l'exercice des attributions du ministère public et des juridictions pénales, et à l'exécution de leurs décisions.
« II. - Les traitements mentionnés au I sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés.
« Ceux des traitements mentionnés au I qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'État pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés.
« L'avis de la Commission nationale de l'informatique et des libertés est publié avec l'arrêté ou le décret autorisant le traitement.
« III (nouveau). - Dans les traitements mentionnés au 7° du I du présent article, la durée de conservation des données concernant les mineurs est inférieure à celle applicable aux majeurs, sauf à ce que leur enregistrement ait été exclusivement dicté par l'intérêt du mineur. Cette durée est modulée afin de tenir compte de la situation particulière des mineurs et, le cas échéant, en fonction de la nature et de la gravité des atteintes à la sécurité publique commises par eux.
« IV (nouveau). - Les traitements de données à caractère personnel intéressant la sûreté de l'État et la défense peuvent être dispensés, par décret en Conseil d'État, de la publication de l'acte réglementaire qui les autorise. Pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la Commission nationale de l'informatique et des libertés.
« Les actes réglementaires qui autorisent ces traitements sont portés à la connaissance de la délégation parlementaire au renseignement et de la Commission nationale de l'informatique et des libertés.
« V (nouveau). - Lorsque la mise au point technique d'un traitement mentionné au I nécessite une exploitation en situation réelle de fonctionnement, un tel traitement peut être mis en oeuvre à titre expérimental pour une durée de dix-huit mois, après déclaration auprès de la Commission nationale de l'informatique et des libertés.
« Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les modalités selon lesquelles la commission est informée de l'évolution technique d'un tel projet de traitement et fait part de ses recommandations au seul responsable de ce projet.
« VI (nouveau). - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la Commission nationale de l'informatique et des libertés un engagement de conformité de celui-ci à la description figurant dans l'autorisation. »
L'amendement n°18 est retiré.
M. le président. - Amendement n°1, présenté par Mmes Boumediene-Thiery, Blandin et Voynet et MM. Desessard et Muller.
Rédiger ainsi cet article :
L'article 26 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Art. 26. - I. - Sont autorisés par décret du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et qui intéressent la sûreté de l'État ou la défense nationale. L'avis de la Commission nationale de l'informatique et des libertés est publié en même temps que le décret autorisant le traitement.
« Les actes réglementaires qui autorisent les traitements mentionnés à l'alinéa précédent sont portés à la connaissance de la délégation parlementaire au renseignement.
« II. - Sont autorisés par la loi les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et :
« 1° Qui intéressent la sécurité publique ;
« 2° Qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ;
« 3° Qui portent sur des données mentionnées au I et II de l'article 8.
« III. Des catégories de traitements de données à caractère personnel peuvent également être autorisés par la loi lorsqu'elles sont constituées par des traitements qui répondent à une même finalité, portent sur les mêmes catégories de données et ont les mêmes catégories de destinataires.
« IV- L'avis de la Commission nationale de l'informatique et des libertés mentionné au a du 4° de l'article 11 sur tout projet de loi autorisant la création d'une telle catégorie de traitements de données est transmis au Parlement simultanément au dépôt du projet de loi. »
Mme Alima Boumediene-Thiery. - Cet amendement réintroduit dans cette proposition de loi une exigence fondamentale : donner au législatif le pouvoir de créer des fichiers. Cette exigence a été abandonnée en commission des lois, au profit d'une extension du pouvoir réglementaire dans la création des fichiers. Nous souhaitons cependant que la création de fichiers touchant à la défense nationale et à la sûreté de l'État reste sous la responsabilité du pouvoir réglementaire. Le décret créant de tels fichiers devra faire l'objet d'un avis de la Cnil, et sera transmis à la délégation parlementaire au renseignement. Enfin, il sera publié, pour assurer à nos concitoyens le droit d'accéder aux normes qui s'imposent à eux.
M. le président. - Amendement n°14, présenté par M. C. Gautier et les membres du groupe socialiste, apparentés et rattachés.
Alinéas 2 à 21
Remplacer ces alinéas par 34 alinéas ainsi rédigés :
Rédiger ainsi ces alinéas :
« Art. 26. - I. - Les traitements ou catégories traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et qui intéressent la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, ne peuvent être autorisés par la loi qu'à la condition de répondre à une ou plusieurs des finalités suivantes :
« 1° Permettre aux services de renseignement qui n'interviennent pas en matière de sûreté de l'État et de défense, d'exercer leurs missions ;
« 2° Permettre aux services de police judiciaire d'opérer des rapprochements entre des infractions susceptibles d'être liées entre elles, à partir des caractéristiques de ces infractions, afin de faciliter l'identification de leurs auteurs ;
« 3° Faciliter par l'utilisation d'éléments biométriques ou biologiques se rapportant aux personnes, d'une part la recherche et l'identification des auteurs de crimes et de délits, d'autre part la poursuite, l'instruction et le jugement des affaires dont l'autorité judiciaire est saisie ;
« 4° Répertorier les personnes et les objets signalés par les services habilités à alimenter le traitement, dans le cadre de leurs missions de police administrative ou judiciaire, afin de faciliter les recherches des services enquêteurs et de porter à la connaissance des services intéressés la conduite à tenir s'ils se trouvent en présence de la personne ou de l'objet ;
« 5° Faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ;
« 6° Faciliter la diffusion et le partage des informations détenues par différents services de police judiciaire, sur les enquêtes en cours ou les individus qui en font l'objet, en vue d'une meilleure coordination de leurs investigations ;
« 7° Centraliser les informations destinées à informer le Gouvernement et le représentant de l'État afin de prévenir les atteintes à la sécurité publique ;
« 8° Procéder à des enquêtes administratives liées à la sécurité publique ;
« 9° Faciliter la gestion administrative ou opérationnelle des services de police et de gendarmerie ainsi que des services chargés de l'exécution des décisions des juridictions pénales en leur permettant de consigner les événements intervenus, de suivre l'activité des services et de leurs agents, de suivre les relations avec les usagers du service, d'assurer une meilleure allocation des moyens aux missions et d'évaluer les résultats obtenus ;
« 10° Organiser le contrôle de l'accès à certains lieux nécessitant une surveillance particulière ;
« 11° Recenser et gérer les données relatives aux personnes ou aux biens faisant l'objet d'une même catégorie de décision administrative ou judiciaire ;
« 12° Faciliter l'accomplissement des tâches liées à la rédaction, à la gestion et à la conservation des procédures administratives et judiciaires et assurer l'alimentation automatique de certains fichiers de police ;
« 13° Recevoir, établir, conserver et transmettre les actes, données et informations nécessaires à l'exercice des attributions du ministère public et des juridictions pénales, et à l'exécution de leurs décisions.
« Les catégories de traitements de données à caractère personnel sont constituées par les traitements qui répondent aux mêmes finalités, peuvent comporter tout ou partie d'un ensemble commun de données, concernent les mêmes catégories de personnes et obéissent aux mêmes règles générales de fonctionnement.
« L'avis de la Commission nationale de l'informatique et des libertés mentionnées au a du 4°sur tout projet de loi autorisant la création d'un tel traitement ou d'une telle catégorie de traitements de données est transmis au Parlement simultanément au dépôt du projet de loi.
« II. - La loi autorisant un traitement ou une catégorie de traitements de données mentionnés au I prévoit :
« - les services responsables ;
« - la nature des données à caractère personnel prévues au I de l'article 8 dont la collecte, la conservation et le traitement sont autorisés, dès lors que la finalité du traitement l'exige ;
« - l'origine de ces données et les catégories de personnes concernées ;
« - la durée de conservation des informations traitées ;
« - les destinataires ou catégories de destinataires des informations enregistrées ;
« - la nature du droit d'accès des personnes figurant dans les traitements de données aux informations qui les concernent ;
« - les interconnexions autorisées avec d'autres traitements de données.
« III. - Sont autorisés par décret en Conseil d'État, après avis motivé et publié de la commission, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et qui intéressent la sûreté de l'État ou la défense.
« Ces traitements peuvent être dispensés, par décret en Conseil d'État, de la publication de l'acte réglementaire qui les autorise.
« Pour ces traitements :
« - est publié en même temps que le décret autorisant la dispense de la publication de l'acte, le sens de l'avis émis par la commission ;
« - l'acte réglementaire est transmis à la délégation parlementaire au renseignement et à la commission.
« IV. - Les modalités d'application du I sont fixées par arrêté. Si les traitements portent sur des données mentionnées au I de l'article 8, ces modalités sont fixées par décret en Conseil d'État.
La commission publie un avis motivé sur tout projet d'acte réglementaire pris en application d'une loi autorisant une catégorie de traitements de données conformément au I du présent article.
« V. - Dans les traitements mentionnés au 1° et 7° du I du présent article, la durée de conservation des données concernant les mineurs est inférieure à celle applicable aux majeurs, sauf à ce que leur enregistrement ait été exclusivement dicté par l'intérêt du mineur. Cette durée est modulée afin de tenir compte de la situation particulière des mineurs et, le cas échéant, en fonction de la nature et de la gravité des atteintes à la sécurité publique commises par eux.
« VI. - Lorsque la mise au point technique d'un traitement mentionné au I nécessite une exploitation en situation réelle de fonctionnement, un tel traitement peut être mis en oeuvre à titre expérimental pour une durée de dix-huit mois, après déclaration auprès de la Commission nationale de l'informatique et des libertés.
« Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les modalités selon lesquelles la commission est informée de l'évolution technique d'un tel projet de traitement et fait part de ses recommandations au seul responsable de ce projet.
« VII - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la Commission nationale de l'informatique et des libertés un engagement de conformité de celui-ci à la description figurant dans l'autorisation.
M. Charles Gautier. - Nous avons retiré le n°18 qui supprimait l'article 4 parce que nous préférons réécrire cet article de façon complète et équilibrée. Fruit des réflexions successives sur le contrôle des fichiers de police menées à l'Assemblée nationale et au Sénat, notre rédaction repose sur une ligne directrice claire, la seule qui permettrait de parvenir enfin à un consensus, sans a priori partisan. Elle satisferait les intérêts des services relevant tant de la sécurité intérieure que de la défense et de la sûreté de la Nation.
La rédaction de la commission n'est pas satisfaisante car elle limite l'intervention du législateur à la seule finalité des traitements. Elle se contente de mettre à jour la base légale des fichiers existants afin notamment d'englober les fichiers créés par des actes réglementaires ou sans fondement juridique spécifique.
Le contrôle du législateur ne peut se limiter à la seule détermination des finalités des traitements de données, sujet sur lequel le risque de divergence est limité. Nous reprenons la liste des finalités, mais le débat porte davantage sur le contenu et les conditions de traitement des données. Le contrôle des fichiers de police passe par la loi parce qu'il s'agit bien de l'exercice des libertés publiques pour lesquelles le législateur est appelé à fixer les règles aux termes de l'article 34 de la Constitution.
Nous précisons les éléments d'information et d'usage qui doivent accompagner la création de ces fichiers. Nous préservons la compétence exclusive du pouvoir réglementaire pour les traitements intéressant la sûreté de l'État ou la défense en reprenant l'idée du contrôle de ces fichiers par la délégation parlementaire au renseignement. Nous sommes favorables au régime spécifique concernant les mineurs, qui réduit la durée de conservation des données personnelles les concernant, afin de renforcer leur « droit à l'oubli ».
Donnons aux forces de l'ordre et à la justice les moyens d'agir ; mais faisons-le dans la transparence et dans le respect des libertés publiques en veillant à maintenir un équilibre délicat mais indispensable.
M. le président. - Amendement n°31, présenté par le Gouvernement.
I. - Alinéas 2 et 3
Rédiger ainsi ces alinéas :
« Art. 26. - I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et qui intéressent la sûreté de l'État ou la défense.
« II. - Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et qui intéressent la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, ne peuvent être autorisés qu'à la condition de répondre à une ou plusieurs des finalités suivantes : »
II. - En conséquence :
a) Alinéas 4 à 15, références 2° à 13°
Remplacer ces références par les références :
1° à 12°
b) Alinéas 16 à 24, références II à VI
Remplacer ces références par les références :
III à VII.
c) Alinéa 16
Remplacer les mots :
mentionnés au I
par les mots :
mentionnés au II
d) Alinéa 17
Remplacer les mots :
traitements mentionnés au I
par les mots :
traitements mentionnés au I ou au II
e) Alinéa 19
Remplacer les mots :
au 7° du I
par les mots :
au 6° du II
III. - Alinéa 20, première phrase
Remplacer les mots :
Les traitements de données à caractère personnel intéressant la sûreté de l'État et la défense
par les mots :
Certains traitements mentionnés au I
IV. - Alinéa 22
Remplacer les mots :
au I
par les mots :
au I ou au II
M. Jean-Marie Bockel, secrétaire d'État. - Le Gouvernement est opposé à l'article 4 tel qu'adopté par votre commission. Tout comme le Parlement, le Gouvernement souhaite que les traitements de police ne puissent être créés par voie réglementaire que s'ils répondent à une finalité préalablement définie par la loi. L'article 29 bis de la proposition de loi de simplification et d'amélioration de la qualité du droit, adoptée par l'Assemblée nationale en première lecture le 2 décembre 2009, modifie l'article 26 de la loi du 6 janvier 1978 en ce sens. La rédaction retenue préserve un équilibre entre la garantie des droits et libertés et la souplesse nécessaire pour permettre au Gouvernement de mettre en oeuvre des fichiers opérationnels dans des délais raisonnables.
Il est vrai que le présent article 4 se rapproche sur de nombreux points de l'article 29 bis de la proposition de loi de simplification et d'amélioration de la qualité du droit, mais il s'en écarte sur un point important. Le régime consistant à ne permettre la création de traitements par voie réglementaire que lorsqu'ils répondent à des finalités définies dans la loi est ici étendu aux traitements qui intéressent la sûreté de l'État et la défense, qui n'étaient visés ni dans la proposition de loi initiale, ni dans le rapport de Mme Batho et de M. Bénisti sur les fichiers de police, aux conclusions duquel le rapport de M. Détraigne et de Mme Escoffier se réfère sur ce point, ni dans la proposition de loi du président Warsmann dont le Sénat est saisi par ailleurs.
Le Gouvernement est favorable à une évolution de l'encadrement juridique des fichiers de police qui étaient visés par les textes déjà cités. Corrélativement, compte tenu de leur spécificité, il souhaite le maintien du régime actuel pour les traitements qui intéressent la sûreté de l'État et la défense, que ces propositions n'ont pas voulu remettre en cause. C'est un équilibre qui a été constant jusqu'à présent, et c'est pourquoi ce type de traitements a été exclu de la proposition de loi de simplification et d'amélioration de la qualité du droit. Il convient de s'en tenir à cette position. Le Gouvernement propose donc que les dispositions de l'article 4 soient identiques à celles de l'article 29 bis de la proposition de loi de simplification et d'amélioration de la qualité du droit, adopté par l'Assemblée nationale, en première lecture.
M. le président. - Sous-amendement n°44 à l'amendement n°31 du Gouvernement, présenté par MM. Türk et Amoudry.
Alinéa 4 de l'amendement n° 31
Avant les mots :
Les traitements de données
insérer les mots :
Sans préjudice des dispositions de l'article 6,
Sous-amendement n°45 à l'amendement n° 31 du Gouvernement, présenté par MM. Türk et Amoudry.
Rédiger ainsi le IV de l'amendement n° 31 :
IV. - Alinéa 22
Rédiger ainsi cet alinéa :
« VI - Lorsque la mise au point technique d'un traitement mentionné au I ou au II nécessite une exploitation en situation réelle de fonctionnement, un tel traitement peut être autorisé, à titre expérimental, pour une durée maximale de dix-huit mois, par arrêté pris après avis de la Cnil. Cet arrêté détermine notamment les finalités, la durée et le champ d'application de l'expérimentation.
Amendement n°20 rectifié, présenté par MM. Türk et Amoudry.
Alinéa 2
Avant les mots :
Les traitements de données à caractère personnel
insérer les mots :
Sans préjudice des dispositions de l'article 6,
Amendement n°19, présenté par MM. Türk et Amoudry.
Alinéa 22
Rédiger ainsi cet alinéa :
«V - Lorsque la mise au point technique d'un traitement mentionné au I nécessite une exploitation en situation réelle de fonctionnement, un tel traitement peut être autorisé, à titre expérimental, pour une durée maximale de dix-huit mois, par arrêté pris après avis de la CNIL. Cet arrêté détermine notamment les finalités, la durée et le champ d'application de l'expérimentation.
L'amendement n°25 est retiré.
M. Alex Türk. - L'article 4, dans sa rédaction actuelle, précise que les traitements de données à caractère personnel relevant de l'article 26, et en particulier les fichiers de police, pourront être autorisés s'ils répondent à une ou plusieurs des treize finalités déterminées aux termes du même article. Si, de prime abord, l'objectif poursuivi -assurer un meilleur encadrement des fichiers de police- est légitime, cette nouvelle rédaction de l'article 26 ne permet pas de garantir que, pour chaque création de traitement, le contrôle de proportionnalité prévu par l'article 6 de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 sera bien exercé. Cet article dispose, en particulier, que les données ne sont collectées que pour des finalités déterminées, légitimes et explicites. Compte tenu de la sensibilité particulière de ces traitements, il importe de rappeler expressément qu'ils ne peuvent être autorisés que s'ils respectent le principe de proportionnalité prévu par l'article 6. C'est l'objet du sous-amendement n°44.
S'agissant des expérimentations, nous proposons de substituer à la simple déclaration, qui serait un recul, un arrêté pris après avis de la Cnil. Enfin, le bureau de la Cnil peut toujours intervenir en urgence, comme cela s'est produit lors du sommet de l'Otan, où il a fallu statuer en 24 heures.
M. Christian Cointat, rapporteur. - J'ai procédé à de nombreuses auditions autour de cet article 4, dont il est ressorti que le sujet était extrêmement sensible et complexe ; que s'il fallait éviter de mettre en difficulté l'exercice des missions régaliennes de l'État, il fallait aussi mieux encadrer cet exercice ; et que le texte de la proposition de loi interférait avec l'article 34 de la Constitution, qui définit le domaine de la loi. Il est finalement apparu à la commission qu'il était préférable d'en rester au « paquet Warsmann », c'est-à-dire aux dispositions adoptées après un long débat par l'Assemblée nationale et acceptées par le Gouvernement -qui les a reprises dans son amendement n°31.
Les amendements nos1 et 14 ne sont pas conformes à la Constitution pour les raisons que j'ai dites à propos de la proposition de loi initiale. Les sous-amendements nos44 et 45 sont tout à fait dans l'esprit du texte de la commission : avis favorable.
M. Jean-Marie Bockel, secrétaire d'État. - Avis défavorable aux amendements nos1 et 14. Je remercie la commission de se rallier à l'amendement du Gouvernement.
Pour ce dernier, l'article 6 s'applique à tous les traitements de données, et donc à ceux de l'article 26. Mieux vaut éviter toute confusion et repousser l'amendement n°20 rectifié et le sous-amendement n°44. L'encadrement des expérimentations proposé par l'amendement n°19 et le sous-amendement n°45 suppose une instruction préalable de la Cnil, ce qui les rendrait moins faciles et moins rapides à mettre en oeuvre. Les différents rapports et propositions de loi qui traitent de ce sujet n'ont pas envisagé une procédure de cette sorte. Il est clair, en revanche, que la Cnil sera pleinement associée aux expérimentations.
L'amendement n°1 n'est pas adopté, non plus que l'amendement n°14.
Le sous-amendement n°44 est adopté.
M. Jean-Jacques Hyest, président de la commission des lois. - Nous pourchassons toujours les « notamment » ; le sous-amendement n°45 en compte un qu'il faudrait faire disparaître. (M. Alex Türk donne son accord)
Le sous-amendement n°45 rectifié est adopté.
L'amendement n°31, sous-amendé, est adopté.
Les amendements nos20 rectifié et 19 deviennent sans objet.
L'article 4, modifié, est adopté.
Articles additionnels
M. le président. - Amendement n°2, présenté par Mmes Boumediene-Thiery, Blandin et Voynet et MM. Desessard et Muller.
Après l'article 4, insérer un article additionnel ainsi rédigé :
Après l'article 26 de la loi n° 78-17 du 6 janvier 1978 précitée, il est inséré un article 26-1 ainsi rédigé :
« Art. 26-1.- La loi autorisant un traitement ou une catégorie de traitements de données mentionnés à l'article 26, contient, pour chaque traitement ou catégorie de traitement créé :
« - les services responsables ;
« - leurs finalités ;
« - la durée de conservation des informations traitées ;
« - les modalités de destruction des informations traitées ;
« - les modalités de traçabilité des consultations du traitement ;
« - la procédure offerte aux personnes souhaitant procéder à une vérification de l'exactitude des informations recueillies ou à leur effacement. »
Mme Alima Boumediene-Thiery. - Au-delà des mentions classiques, la loi doit traiter des modalités de gestion, de traitement et de destruction des données ; des modalités de traçabilité des consultations -la campagne des régionales dans le Val-d'Oise a donné lieu à des dérives regrettables ; et des conditions dans lesquelles les citoyens peuvent s'assurer de l'exactitude des informations les concernant et demander leur modification ou leur effacement. La Cnil fait un excellent travail, mais des progrès restent à accomplir.
M. Christian Cointat, rapporteur. - J'ai dit à l'occasion d'amendements précédents pourquoi une telle rédaction était inconstitutionnelle.
L'amendement n°2, repoussé par le Gouvernement, n'est pas adopté.
M. le président. - Amendement n°3, présenté par Mmes Boumediene-Thiery, Blandin et Voynet et MM. Desessard et Muller.
Après l'article 4, insérer un article additionnel ainsi rédigé :
Après l'article 26 de la loi n° 78-17 du 6 janvier 1978 précitée, il est inséré un article ainsi rédigé :
« Art. ... - Lorsqu'une loi autorise un traitement de données à caractère personnel mis en oeuvre pour le compte de l'État conformément au II de l'article 26, son décret d'application est pris après avis de la Commission nationale de l'informatique et des libertés. L'avis est publié avec le décret correspondant. »
Mme Alima Boumediene-Thiery. - Cet amendement s'explique par son texte même. La rédaction de l'article 5 bis, qui traite de la question, est à nos yeux ambiguë.
L'amendement n°3, repoussé par la commission et le Gouvernement, n'est pas adopté.
Article 4 bis
La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée :
1° Au IV de l'article 8, la référence : « II » est remplacée par les références : « deuxième alinéa du II » ;
2° Au III de l'article 27, la référence : « IV » est remplacée par la référence : « VI » ;
3° Au premier alinéa du I de l'article 31, la référence : « III » est remplacée par la référence : « IV » ;
4° Au IV de l'article 44, la référence : « III » est remplacée par la référence : « IV » ;
5° Au premier alinéa de l'article 49, les références : « au I ou au II » sont remplacées par les références : « aux I, II ou III ».
M. le président. - Amendement n°41 rectifié, présenté par le Gouvernement.
A. - Alinéa 2
Remplacer les mots :
deuxième alinéa du II
par les mots :
deuxième alinéa du III
B. - Alinéa 3
Remplacer la référence :
VI
par la référence :
VII
C. - Alinéa 4
Remplacer la référence :
IV
par la référence :
V
D. - Alinéa 5
Remplacer les mots :
la référence : « IV »
par les mots :
la référence : « V »
E. - Alinéa 6
Remplacer cet alinéa par trois alinéas ainsi rédigés :
5° Aux 1°, 2° et 3° du II de l'article 45, les références : « au I et au II » sont remplacées par les références : « aux I, II et III » ;
6° Au premier alinéa de l'article 49, les références : « au I ou au II » sont remplacées par les références : « aux I, II ou III » ;
7° Au huitième alinéa de l'article 69, les références : « au I ou au II » sont remplacées par les références : « aux I, II ou III ».
L'amendement rédactionnel n°41 rectifié, accepté par la commission, est adopté.
L'article 4 bis, modifié, est adopté.
Article 4 ter
Le I de l'article 13 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par un alinéa ainsi rédigé :
« La commission élit en son sein trois de ses membres, dont deux parmi les membres mentionnés au 3°, au 4° ou au 5°. Ils composent une formation spécialisée de la commission chargée d'instruire les demandes d'avis formulées conformément aux I, II et VI de l'article 26. Cette formation est également chargée du suivi de la mise en oeuvre expérimentale de traitements de données prévue au V de l'article 26. Elle organise, en accord avec les responsables de traitements, les modalités d'exercice du droit d'accès indirect, défini aux articles 41 et 42. »
M. le président. - Amendement n°42, présenté par le Gouvernement.
I. - Alinéa 2, deuxième phrase
Remplacer les références :
I, II et VI
par les références :
I, II, III et VII
II. - Alinéa 2, troisième phrase
Remplacer la référence :
V
par la référence :
VI
M. Jean-Marie Bockel, secrétaire d'État. - Coordination.
M. le président. - Amendement n°4, présenté par Mmes Boumediene-Thiery, Blandin et Voynet et MM. Desessard et Muller.
Alinéa 2, troisième phrase
Supprimer cette phrase.
Mme Alima Boumediene-Thiery. - Nous sommes opposés à la mise en oeuvre expérimentale de traitements de données, qui peut donner lieu à des abus, même si elle est soumise au contrôle de la Cnil.
L'amendement n°42, accepté par la commission, est adopté.
L'amendement n°4 tombe.
L'article 4 ter, modifié, est adopté.
Article 4 quater
Après le troisième alinéa de l'article 16 de la loi n° 78-17 du 6 janvier 1978 précitée, il est inséré un alinéa ainsi rédigé :
« - au V de l'article 26 ; ».
M. le président. - Amendement n°5, présenté par Mmes Boumediene-Thiery, Blandin et Voynet et MM. Desessard et Muller.
Supprimer cet article.
Mme Alima Boumediene-Thiery. - L'argument est le même.
L'amendement n° 5, rejeté par la commission et le Gouvernement, n'est pas adopté.
M. le président. - Amendement n°43, présenté par le Gouvernement.
Alinéa 2
Remplacer la référence :
V
par la référence :
VI
L'amendement de coordination n°43, accepté par la commission, est adopté.
L'article 4 quater, modifié, est adopté.
Article 4 quinquies
L'article 29 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par un alinéa ainsi rédigé :
« Les actes autorisant la création des traitements de l'article 26 comportent en outre la durée de conservation des données enregistrées et les modalités de traçabilité des consultations du traitement. »
M. le président. - Amendement n°13, présenté par M. C. Gautier et les membres du groupe socialiste, apparentés et rattachés.
Alinéa 2
Après les mots :
données enregistrées
insérer les mots :
, les interconnexions autorisées avec d'autres traitements de données
M. Charles Gautier. - Cet article rend obligatoire l'inscription dans les actes créant des fichiers de police de la durée de conservation des données et des modalités de traçabilité des consultations : une récente affaire lors de la campagne régionale en a montré la nécessité, et la Cnil pourrait faire des propositions pour améliorer cette traçabilité. Mais alors que les fichiers de données personnelles sont de plus en plus centralisés, il nous paraît indispensable que les actes mentionnent aussi les interconnexions autorisées avec d'autres traitements de données.
M. Christian Cointat, rapporteur. - Favorable.
M. Jean-Marie Bockel, secrétaire d'État. - Cet amendement tend à renforcer la protection des droits des citoyens et va dans le bon sens. Mais il créerait pour l'État une obligation très contraignante, puisqu'il obligerait à modifier de manière répétée les actes réglementaires autorisant la création de fichiers. Sagesse.
L'amendement n°13 est adopté.
L'article 4 quinquies, modifié, est adopté, ainsi que l'article 4 sexies.
Article 4 septies
Le III de l'article 21 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure est ainsi modifié :
1° Après la deuxième phrase, il est inséré une phrase ainsi rédigée :
« Le procureur de la République se prononce sur les suites qu'il convient de donner aux demandes d'effacement ou de rectification dans un délai d'un mois. » ;
2° Après la troisième phrase, il est inséré une phrase ainsi rédigée :
« Lorsque le procureur de la République prescrit le maintien des données à caractère personnel d'une personne ayant bénéficié d'une décision d'acquittement ou de relaxe devenue définitive, il en avise la personne concernée. » ;
3° Sont ajoutés une phrase et un alinéa ainsi rédigés :
« Les autres décisions de classement sans suite font l'objet d'une mention.
« Les décisions d'effacement ou de rectification des informations nominatives prises par le procureur de la République sont transmises aux responsables de tous les traitements automatisés pour lesquels ces décisions ont des conséquences sur la durée de conservation des données à caractère personnel. »
M. le président. - Amendement n°32, présenté par le Gouvernement.
Supprimer cet article.
M. Jean-Marie Bockel, secrétaire d'État. - L'article 4 septies vise à imposer de nouvelles obligations aux procureurs de la République en ce qui concerne la mise à jour des fichiers d'antécédents judiciaires Stic et Judex. Mais les délais sont déjà assez stricts et respectés par les parquets. Les raccourcir pourrait poser problème, notamment dans le cas des personnes impliquées dans de nombreuses procédures, parfois vieilles de dix ou vingt ans, dans les ressorts de juridictions différentes. J'en appelle au principe de réalité !
D'ailleurs, les services gestionnaires de traitements sont seuls responsables de la mise à jour des fichiers d'antécédents judiciaires, et ne sont pas obligés de suivre les prescriptions du parquet. Dès lors, l'obligation éventuelle d'informer les requérants en cas de maintien d'une mention au fichier doit leur incomber.
En outre, l'obligation de mettre à jour les fichiers, quel que soit le motif de classement sans suite, paraît peu opportune, compte tenu de la diversité des motifs des décisions d'orientation des procédures judiciaires.
Enfin, les différents fichiers de police judiciaire ne poursuivent pas les mêmes objectifs et n'obéissent pas aux mêmes règles de mise à jour. L'effacement des données de tous les fichiers pourrait empêcher la lutte contre l'insécurité et la récidive criminelle.
La mise à jour simultanée des fichiers de police judiciaire ne relève pas tant de la loi que des bonnes pratiques recommandées aux parquets, dans le respect de leurs prérogatives et des règles et finalités propres à chaque fichier.
Cet amendement me paraît donc nécessaire et ne remet pas en cause la qualité du travail de la commission.
M. Christian Cointat, rapporteur. - J'ai écouté M. le ministre avec attention, mais je souhaite faire deux remarques. Tout d'abord, il faut adapter notre droit à l'évolution fulgurante des technologies de l'information. L'application Cassiopée permettra de gagner du temps : cela justifie de raccourcir les délais. Il n'y a pas péril en la demeure.
En outre, sur ce sujet si sensible, nous avons voulu nous aligner sur l'Assemblée nationale. Cet article est la copie conforme d'un texte du « paquet Warsmann », adopté par les députés sans que le Gouvernement ait trouvé à y redire. Je me vois donc contraint d'émettre un avis défavorable.
M. Alex Türk. - La Cnil a remis un rapport à ce sujet il y a un an, sans que rien n'ait été fait depuis. Son rapport annuel, qui sera publié dans quelques semaines, mentionnera de nouveaux exemples de personnes qui ont perdu leur travail ou se sont vu refuser un emploi parce que leur nom figurait de manière injustifiée dans le Stic. Cette situation concerne des milliers de personnes.Nous avons mené des études dans la moitié des ressorts : il ne s'agit pas d'un sondage !
Je rejoins l'argumentation du rapporteur : il est temps de mettre fin à ces abus. Il est anormal qu'à l'heure de la société de l'information, des mentions figurent dans des fichiers par erreur ou à cause d'un retard, alors que nous avons les moyens de l'empêcher. Cela fait presque dix ans que j'entends parler de Cassiopée : finissons-en ! En tant que président de la Cnil, je me sens très mal à l'aise face à ceux de nos concitoyens qui ont perdu leur emploi à cause d'une homonymie ou d'un retard de mise à jour. Il faut régler ce problème au plus vite : c'est une exigence démocratique, d'autant plus impérieuse dans un pays qui dispose des moyens informatiques pour le faire.
L'amendement n°32 n'est pas adopté.
L'article 4 septies est adopté.
Article 4 octies
Après le second alinéa de l'article 395 du code de procédure pénale, il est inséré un alinéa ainsi rédigé :
« Si le procureur de la République envisage de faire mention d'éléments concernant le prévenu et figurant dans un traitement automatisé d'informations nominatives prévu par l'article 21 de la loi n°2003-239 du 18 mars 2003 pour la sécurité intérieure, ces informations doivent figurer dans le dossier mentionné à l'article 393 du présent code. »
M. le président. - Amendement n°33, présenté par le Gouvernement.
Supprimer cet article.
M. Jean-Marie Bockel, secrétaire d'État. - Les décrets autorisant respectivement les fichiers Stic et Judex disposent que « seules celles des informations enregistrées dans le traitement automatisé (...) qui sont relatives à la procédure en cours peuvent être jointes au dossier de la procédure » : il en résulte, comme le précise une circulaire du ministère de la justice de décembre 2006, qu'il n'est pas possible d'utiliser ces fichiers pour obtenir des éléments de personnalité, sauf demande expresse des magistrats. Il en ressort également que les éléments exploités en procédure sont joints au dossier. En tout état de cause, le principe du contradictoire s'impose dans la procédure pénale : les charges retenues par le parquet peuvent être contestées par la défense, puis écartées par les magistrats du siège qui sont libres de les apprécier souverainement. L'article 4 octies me paraît donc superfétatoire.
M. Christian Cointat, rapporteur. - Cet article fait lui aussi partie du « paquet Warsmann » voté par l'Assemblée nationale. Je ne vois pas de raison de nous y opposer.
L'amendement n°33 n'est pas adopté.
L'article 4 octies est adopté, ainsi que l'article 5.
Article 5 bis
Le II de l'article 31 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par une phrase ainsi rédigée :
« A l'exception des cas prévus aux articles 26 et 27, lorsqu'une loi prévoit qu'un décret, ou un arrêté, est pris après avis de la Commission nationale de l'informatique et des libertés, cet avis est publié avec le décret ou l'arrêté correspondant. »
M. le président. - Amendement n°34, présenté par le Gouvernement.
Supprimer cet article.
M. Jean-Marie Bockel, secrétaire d'État. - Le texte de la commission généralise la publication de l'avis de la Cnil lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après recueil de cet avis.
Il convient d'en rester au dispositif actuel. Les avis de la Cnil ne doivent ni créer une doctrine ni devenir un instrument de communication externe.
En tout état de cause, la publication systématique est inadaptée : il est préférable que le législateur se pose la question au cas par cas.
M. Christian Cointat, rapporteur. - La commission des lois tient à la notion d'information. Dès lors que la Cnil rend un avis, celui-ci doit être connu. Avis défavorable.
M. Alex Türk. - Je partage la position du rapporteur. Dans le cas du décret créant Cassiopée ou celui du fichier national d'expertises psychiatriques, l'avis de la Cnil n'avait pas été publié, ce qui l'a mise en porte-à-faux et a alimenté les supputations. Mieux vaut que son avis soit connu.
L'amendement n°34 n'est pas adopté.
M. le président. - Amendement n°9, présenté par M. Türk.
Alinéa 2
Remplacer les mots :
À l'exception des
par les mots :
Outre les
L'amendement rédactionnel, accepté par la commission et le Gouvernement, est adopté.
L'article 5 bis, modifié, est adopté.
Article 6
I. - Les I et II de l'article 32 de la loi n° 78-17 du 6 janvier 1978 précitée sont remplacés par quatre paragraphes ainsi rédigés :
« I. - Dès la collecte de données à caractère personnel, le responsable du traitement ou son représentant :
« - Informe, sous une forme spécifique et de manière claire et accessible, la personne concernée, sauf si elle en a déjà été informée au préalable :
« 1° De l'identité et de l'adresse du responsable du traitement et, le cas échéant, de celle de son représentant ;
« 2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
« 3° Des critères déterminant la durée de conservation des données à caractère personnel ;
« 4° Du caractère obligatoire ou facultatif des réponses ;
« 5° Des conséquences éventuelles d'un défaut de réponse ;
« 6° Des destinataires ou catégories de destinataires des données ;
« 7° Des coordonnées du service auprès duquel les droits d'accès, de rectification et de suppression peuvent s'exercer ;
« 8° (nouveau) Le cas échéant, des modalités d'exercice de ces droits par voie électronique après identification ;
« 9° (nouveau) Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un État non membre de l'Union européenne ;
« - Met en mesure la personne concernée d'exercer son droit d'opposition, tel que visé au premier alinéa de l'article 38 ;
« - S'assure du consentement de la personne concernée, sauf dans les cas visés à l'article 7.
« I bis. - Si le responsable du traitement dispose d'un service de communication au public en ligne, il l'utilise pour porter à la connaissance du public, dans une rubrique spécifique et permanente ainsi que de manière claire et accessible, toutes les informations visées aux 1° à 9° du I.
« II. - Le responsable du traitement ou son représentant informe, dans une rubrique spécifique et permanente ainsi que de manière claire et accessible, tout utilisateur d'un réseau de communication électronique :
« - De la finalité des actions tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement ;
« - De la nature des informations stockées ;
« - Des personnes ou catégories de personnes habilitées à avoir accès à ces informations ;
« - Des moyens dont l'utilisateur dispose pour exprimer ou refuser son consentement.
« Les dispositions du présent II ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
« - Soit a pour finalité exclusive de permettre la communication par voie électronique ;
« - Soit est strictement nécessaire à la fourniture d'un service de communication au public en ligne à la demande expresse de l'utilisateur. »
II. - (Non modifié) Le premier alinéa du III du même article est ainsi rédigé :
« Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant fournit à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, avant la première communication des données. »
M. le président. - Amendement n°35 rectifié, présenté par le Gouvernement.
I. - Alinéa 1
Rédiger ainsi cet alinéa :
Les I et I bis de l'article 32 de la loi n°78-17 du 6 janvier 1978 précitée sont ainsi rédigés :
II. - Alinéas 16 à 23
Supprimer ces alinéas.
M. Jean-Marie Bockel, secrétaire d'État. - La portée de la directive mérite une réflexion approfondie avec l'ensemble des partenaires, notamment sur l'opportunité de passer du principe de l'opposition à une logique de consentement express, compte tenu des implications économiques.
La transposition de la directive, dont la date limite est fixée au 25 mai 2011, est en cours de préparation. Une prise en compte globale et cohérente des problématiques est préférable à une transposition morcelée.
M. le président. - Amendement n°26, présenté par MM. Türk et Amoudry.
Alinéa 20
Rédiger ainsi cet alinéa :
« - Des moyens mis en oeuvre par le responsable du traitement pour recueillir le consentement de l'utilisateur préalablement à l'accès ou à l'inscription de ces informations.
M. Alex Türk. - Je suis plus préoccupé que ne l'est le rapporteur par la question du consentement. On observe aujourd'hui un glissement de l'opt-in vers l'opt-out, soit le droit d'opposition a posteriori, dans le but de fluidifier la navigation. Soyons prudents : nous risquerions de regretter une initiative hâtive. Des grands groupes américains sont en train de mettre en place des services qui vont pister nos concitoyens toute la journée, à leur insu ! La question n'est pas purement technique : c'est un enjeu de liberté. Le sujet n'est pas mûr, il faut poursuivre la réflexion.
M. Christian Cointat, rapporteur. - L'article 6, fondamental pour l'information et la protection des citoyens, est le deuxième coeur de la proposition de loi : elle en a besoin pour vivre !
Au motif qu'il faudrait une transposition globale de la directive, le Gouvernement propose de ne rien faire ! Nous pouvons aller vite en ce qui concerne la Cnil ; ce n'est pas morceler, mais découper ! C'est astucieux, cohérent, et pour une fois, nous ne serons pas le cancre de la classe européenne, mais le prix d'excellence !
Je suis d'accord avec M. Türk sur le plan théorique, mais sur le plan pratique, sa proposition est dangereuse : si les internautes sont constamment gênés par des fenêtres qui surgissent, ils iront se brancher à l'étranger ! Avec la complicité des coauteurs du texte, la commission a recherché un équilibre entre la garantie des droits et l'information de l'internaute -qui pourra à tout moment retirer son accord- et la convivialité d'internet. La navette sera l'occasion de poursuivre la réflexion. Nous sommes sur une ligne de crête : prudence !
Défavorable aux deux amendements.
M. Jean-Marie Bockel, secrétaire d'État. - Défavorable.
L'amendement n°35 rectifié n'est pas adopté, non plus que l'amendement n°26.
Les amendements n°s28 et 27 sont retirés.
M. le président. - Amendement n°24, présenté par MM. Türk et Amoudry.
Alinéa 11
Rédiger ainsi cet alinéa :
8° S'il dispose d'un service de communication au public en ligne, des modalités d'exercice de ces droits par voie électronique ;
M. Alex Türk. - Amendement quasi rédactionnel.
M. Christian Cointat, rapporteur. - La commission avait modifié son texte initial dans un souci de qualité rédactionnelle. En droit, la précision des termes doit toutefois l'emporter sur la beauté de la langue : avis favorable.
M. Jean-Marie Bockel, secrétaire d'État. - Même avis.
L'amendement n°24 est adopté.
M. le président. - Amendement n°7, présenté par M. Hérisson.
Alinéa 25
Remplacer les mots :
avant la première
par les mots :
au plus tard lors de la première
M. Pierre Hérisson. - Amendement de cohérence avec l'alinéa 2. Il s'agit de revenir à la rédaction initiale de l'article 32-III de la loi du 6 janvier 1978.
Le texte actuel pénaliserait le marché du marketing direct, qui représentait 9,5 milliards en 2008, et 30 % des investissements publicitaires des entreprises. Pour La Poste, c'est 2 milliards de chiffre d'affaires, et 18 % du volume d'activité -en chute de 7 % en 2009. Informer le destinataire en amont de toute communication de données serait très lourd pour le responsable de traitement au regard du bénéfice pour le consommateur.
M. Christian Cointat, rapporteur. - Il n'y a pas lieu de prévoir deux vagues successives d'information, qui coûteraient trop cher aux opérateurs. Une seule opération suffit pour garantir l'information du citoyen. Avis favorable.
M. Jean-Marie Bockel, secrétaire d'État. - Le texte de la commission était plus favorable aux libertés individuelles... Mais je ne vais pas être plus royaliste que le roi. Sagesse.
L'amendement n°7 est adopté.
L'article 6, amendé, est adopté.
Article 7
L'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Art. 34. - Le responsable du traitement met en oeuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation, la diffusion, le stockage, le traitement ou l'accès non autorisés ou illicites.
« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant « informatique et libertés », ou, en l'absence de celui-ci, la Commission nationale de l'informatique et des libertés. Le correspondant « informatique et libertés » prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l'intégrité et de la confidentialité des données et informe la Commission nationale de l'informatique et des libertés. Si la violation a affecté les données à caractère personnel d'une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant « informatique et libertés ».
« Les dispositions du présent article ne s'appliquent pas aux traitements de données à caractère personnel désignés à l'article 26.
« Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l'article 8. »
M. Jean-Marie Bockel, secrétaire d'État. - Nous voici encore confrontés à la transposition du paquet Télécoms.
Il faut s'interroger sur l'autorité administrative la plus appropriée pour contrôler les questions touchant aux failles de sécurité des systèmes. Est-il certain que la Cnil dispose des moyens techniques et des compétences professionnelles pour assumer un tel rôle ? D'autres autorités, comme l'Arcep, sont susceptibles d'être concernées. Cette question est en train d'être expertisée par le Gouvernement. C'est pourquoi nous plaidons pour une transposition globale.
Mais je connais la position de la commission, que je vais écouter avec tout le respect qu'elle mérite.
M. Christian Cointat, rapporteur. - Défavorable. Dans un monde parfait, cet article serait inutile, mais le fait est qu'il peut y avoir des failles de sécurité. Il est donc indispensable, pour le cas où. Le CIL est l'assurance pour le cas de pépin. Cet article 7 ne doit pas être lu seul : il est intimement lié à l'article 3.
M. Alex Türk. - La question des failles de sécurité devient lancinante. En Grande-Bretagne et en Allemagne, plus de 25 millions d'informations à caractère personnel ont été dispersés dans la nature. La Cnil n'a peut-être pas toujours été armée pour faire face ; désormais, elle l'est, et plus encore avec la myriade de CIL. L'Arcep pourrait avoir un rôle à jouer ? La Cnil est toute disposée à collaborer avec elle. Les autorités administratives ne sont pas trop nombreuses pour faire face à de telles difficultés.
L'amendement n°36 n'est pas adopté.
M. le président. - Amendement n°22, présenté par MM. Türk et Amoudry.
Alinéa 3, deuxième phrase :
Remplacer les mots :
Le correspondant « informatique et libertés »
par les mots :
Le responsable du traitement
M. Alex Türk. - Le CIL a un rôle important à jouer. S'il doit être informé des failles de sécurité survenant dans l'organisme par lequel il a été désigné, ce n'est pas à lui qu'il revient de prendre les mesures nécessaires au rétablissement de la sécurité des données. Cette tâche incombe au premier chef au responsable du traitement et doit rester de sa compétence.
M. Christian Cointat, rapporteur. - Cet amendement améliore le texte.
M. Jean-Marie Bockel, secrétaire d'État. - Effectivement.
L'amendement n°22 est adopté.
M. le président. - Amendement n°40, présenté par M. Cointat, au nom de la commission des lois.
I. - Alinéa 3, troisième phrase
Compléter cette phrase par les mots :
, sauf si ce traitement a été autorisé en application de l'article 26
II. - En conséquence, alinéa 4
Supprimer cet alinéa.
M. Christian Cointat, rapporteur. - Cet amendement rédactionnel évite une formalité.
M. Jean-Marie Bockel, secrétaire d'État. - Favorable.
L'amendement n°40 est adopté.
L'article 7, amendé, est adopté.
Article additionnel
M. le président. - Amendement n°23, présenté par MM. Türk et Amoudry.
Après l'article 7, insérer un article additionnel ainsi rédigé :
A l'article 226-17 du code pénal, les mots : « à l'article » sont remplacés par les mots : « au premier alinéa de l'article ».
M. Alex Türk. - Je pose un problème de technique juridique.
Le code pénal punit le fait de mettre en oeuvre un fichier en méconnaissance des obligations de sécurité prévues à l'article 34 de la loi Informatique et libertés. On pourrait en venir, avec le texte de la commission, à ce que le responsable des traitements concernés doive s'accuser d'être auteurs de la commission d'un délit, ce qui n'est pas envisageable.
Si la commission des lois me rassure sur ce point, je retirerai cet amendement.
M. Christian Cointat, rapporteur. - Les auteurs de cet amendement font valoir que l'application de sanctions pénales au responsable de traitement qui est tenu d'avertir le CIL ou, à défaut, la CNIL, d'une faille de sécurité, reviendrait à obliger ce responsable à se dénoncer lui-même, ce qui serait contraire à un principe de notre droit pénal. Ces craintes ne sont pas fondées.
L'article 34 de la loi Informatique et libertés, qui impose au responsable du traitement l'obligation de mettre en oeuvre toutes mesures adéquates pour assurer la sécurité des données, définit une obligation de moyens, non de résultat. Il peut donc y avoir violation des données sans que la responsabilité du responsable de traitement soit engagée. Ce sera également le cas lorsque le responsable du traitement qui a pris les mesures nécessaires à la sécurisation des données n'est pas la même personne que celle qui est tenue de signaler une perte de données.
En revanche, l'amendement aboutirait à exclure du champ du droit pénal l'obligation faite au responsable de traitement d'avertir le CIL ou la Cnil en cas de violation des données, ainsi que celle faite au CIL de prendre immédiatement toutes les mesures nécessaires au rétablissement de la protection des données, d'en informer la Cnil et, le cas échéant, les personnes physiques concernées, et de tenir un inventaire des atteintes aux traitements de données à caractère personnel. Il s'agit là d'obligations de résultat, et il ne paraît pas opportun de les exclure du champ du droit pénal.
Notre droit pénal reconnaît explicitement le principe de l'auto-dénonciation. Son article 132878 dispose ainsi que, dans les cas prévus par la loi, la durée de la peine privative de liberté encourue par une personne ayant commis un crime ou un délit est réduite si, ayant averti l'autorité administrative ou judiciaire, elle a permis de faire cesser l'infraction, d'éviter que l'infraction ne produise un dommage ou d'identifier les autres auteurs ou complices.
L'avis est donc défavorable.
L'amendement n°23 est retiré.
Article 8
I. - L'article 38 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Art. 38. - Dès la collecte de données à caractère personnel, ou, en cas de collecte indirecte, avant toute communication de données à caractère personnel, toute personne physique est mise en mesure de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection commerciale.
« Lorsque des données à caractère personnel ont été traitées, toute personne physique justifiant de son identité a le droit, pour des motifs légitimes, d'exiger, sans frais, leur suppression auprès du responsable du traitement.
« Ce droit ne peut être exercé lorsque :
« 1° le traitement répond à une obligation légale ;
« 2° le droit de suppression a été écarté par une disposition expresse de l'acte autorisant le traitement ;
« 3° les données sont nécessaires à la finalité du traitement ;
« 4° le traitement est nécessaire pour la sauvegarde, la constatation, l'exercice ou la défense d'un droit ;
« 5° le droit de suppression porte atteinte à une liberté publique garantie par la loi ;
« 6° les données constituent un fait historique. »
II. - Le début du premier alinéa du I de l'article 39 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Toute personne physique justifiant de son identité a le droit d'interroger le responsable du traitement... (le reste sans changement) ».
III. - Le début du premier alinéa de l'article 40 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Toute personne physique justifiant de son identité a le droit de demander au responsable du traitement que soient... (le reste sans changement) ».
M. le président. - Amendement n°37, présenté par le Gouvernement.
Supprimer cet article.
M. Jean-Marie Bockel, secrétaire d'État. - Paradoxalement et contrairement aux intentions affichées par la commission des lois, l'article 8 réduit substantiellement le champ du droit d'opposition préalable à la collecte des données, en le limitant aux seuls cas de prospection commerciale. Les cas dans lesquels le droit de suppression peut être neutralisé sont définis de manière trop large. C'est ainsi que ne pourraient plus être supprimées les données relatives à des clients potentiels figurant dans des fichiers de prospection commerciale, en dépit du souhait légitime des personnes concernées de ne plus y figurer. La notion de « données constituant un fait historique » pourrait priver les internautes ayant laissé, sur des sites de réseaux sociaux, des informations sur leur vie personnelle, de leur droit à l'oubli. Enfin, la référence au traitement « nécessaire pour la sauvegarde, la constatation, l'exercice ou la défense d'un droit » est rédigée de manière tellement large qu'elle risque, à elle seule, de rendre l'exercice du droit de suppression purement résiduel.
Cet amendement rejoint celui de M. Türk.
M. Christian Cointat, rapporteur. - Non, cet article ne réduit pas le champ du droit d'opposition, il précise des termes aujourd'hui très confus, tellement qu'ils inquiètent journalistes et archivistes.
Je suis sénateur UMP, issu du RPR. Imaginez que je souhaite effacer toutes traces de mon parcours au RPR.
M. Charles Gautier. - Cela ne va pas tarder ! (Rires)
M. Christian Cointat, rapporteur. - On ne pourra tout de même pas effacer des actes qui sont publics ! Et imaginez que quelqu'un soit en conflit avec un fournisseur qu'il refuse de payer ; va-t-on effacer toute trace de leurs relations ?
Faute de pouvoir définir clairement la notion de recours légitime, mieux valait rédiger le texte ainsi. Nous sommes donc défavorables à cet amendement.
M. Jean-Marie Bockel, secrétaire d'État. - Vous ne cédez sur rien !
L'amendement n°37 n'est pas adopté.
M. le président. - Amendement n°21, présenté par MM. Türk et Amoudry.
Alinéas 1 à 10
Supprimer ces alinéas.
M. Alex Türk. - Sur le fond, l'idée est intéressante puisqu'il s'agit de définir le droit d'opposition. On voit bien la logique à l'oeuvre : consentir au débat pour obtenir la suppression. Mais le ministre a raison quand il dit que cela revient à une réduction de la protection au champ de la prospection commerciale.
En outre, le consentement durant la collecte connaît également des exceptions lourdes, notamment à cause de la notion d'intérêt légitime.
Enfin, le droit d'opposition prévoit également diverses dérogations. Il faut donc revoir la rédaction.
M. Christian Cointat, rapporteur. - Quand un texte n'est pas juridiquement précis, la protection est illusoire : il y aura conflit et le juge devra trancher. C'est quand le texte est précis que la protection est renforcée. Si vous supprimez notre texte, les droits des internautes seront considérablement affaiblis.
D'autre part, qu'est-ce qu'un motif légitime ? Cette notion est très subjective. Voilà pourquoi nous avons voulu la définir en prévoyant que le droit ne pourra pas être exercé lorsque l'inscription répondra à une obligation légale. Ainsi en est-il lorsqu'on a signé un contrat.
Lors des élections à l'étranger, quelques femmes sont venues me trouver en protestant énergiquement parce qu'elles voulaient que l'on retire leur date de naissance des listes électorales. Je leur ai répondu que ce n'était pas possible car il fallait savoir si elles avaient plus de 18 ans. Certaines données ne peuvent donc être effacées.
En outre, la liberté des uns commence là où se termine celle des autres. Enfin, il ne faut pas permettre de réécrire l'histoire ! Je ne peux donc que donner un avis défavorable.
M. Jean-Marie Bockel, secrétaire d'État. - Trop de précisions peuvent se révéler contreproductives : il n'est pas possible de tout prévoir. Plus on crée de catégories, plus on risque d'oublier d'autres situations.
M. Alex Türk. - Je ne voudrais pas m'attirer les foudres du président de la commission dont je suis membre, mais l'adverbe « notamment » est ici indispensable. Dans le texte initial, il était écrit « à des fins de prospection, notamment commerciales ». Dans celui que nous examinons, le « notamment » a disparu. Désormais, seul le domaine commercial est visé. Je suggère la rectification de ce point particulier.
M. Christian Cointat, rapporteur. - Je vous propose de supprimer le mot « commerciale ». Ainsi, nous n'avons plus besoin du « notamment » et je ne me ferai pas assassiner par mon président de commission. (Sourires)
M. Jean-Marie Bockel, secrétaire d'État. - Avis défavorable.
M. le président. - Il s'agit donc de l'amendement n°46 de la commission.
L'amendement n°21 est retiré.
L'amendement n°46 est adopté.
L'article 8, modifié, est adopté.
L'article 9 est adopté.
Article 9 bis
Les dispositions des I et II de l'article 44 de la loi n° 78-17 du 6 janvier 1978 précitée sont remplacées par quatre alinéas ainsi rédigés :
« I. - Les membres de la Commission nationale de l'informatique et des libertés ainsi que les agents de ses services habilités dans les conditions définies au dernier alinéa de l'article 19 ont accès, de 6 heures à 21 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d'un traitement de données à caractère personnel et qui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectés au domicile privé.
« II - Lorsque l'urgence, la gravité des faits justifiant le contrôle ou le risque de destruction ou de dissimulation de documents l'exigent, la visite est préalablement autorisée par le juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter. Dans les autres cas, le responsable des lieux peut s'opposer à la visite, qui ne peut alors se dérouler qu'avec l'autorisation du juge des libertés et de la détention. Celui-ci statue dans des conditions fixées par décret en Conseil d'État.
« La visite s'effectue sous l'autorité et le contrôle du juge qui l'a autorisée, en présence de l'occupant des lieux ou de son représentant, qui peut se faire assister d'un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l'autorité des personnes chargées de procéder au contrôle. Le juge peut, s'il l'estime utile, se rendre dans les locaux pendant l'intervention. A tout moment, il peut décider la suspension ou l'arrêt de la visite.
« L'ordonnance ayant autorisé la visite est exécutoire au seul vu de la minute. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d'une demande de suspension ou d'arrêt de cette visite et précise qu'une telle demande n'est pas suspensive. Elle indique le délai et la voie de recours. Elle peut faire l'objet, suivant les règles prévues par le code de procédure civile, d'un appel devant le premier président de la cour d'appel. »
M. le président. - Amendement n°12 rectifié, présenté par M. Détraigne et Mme Escoffier.
Alinéa 3
Rédiger ainsi cet alinéa :
II. - Le responsable des lieux est informé de son droit d'opposition à la visite. Lorsqu'il exerce ce droit, la visite ne peut se dérouler qu'après l'autorisation du juge des libertés et de la détention. Celui-ci statue dans des conditions fixées par décret en Conseil d'État. Toutefois, par dérogation aux dispositions de l'alinéa précédent, lorsque l'urgence, la gravité des faits justifiant le contrôle ou le risque de destruction ou de dissimulation de documents l'exigent, la visite est préalablement autorisée par le juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter.
M. Yves Détraigne, coauteur de la proposition de loi. - Le Conseil d'État a récemment considéré, en vertu de l'article 8 de la Convention européenne des droits de l'homme relatif à l'inviolabilité du domicile, que les responsables des locaux dans lesquels se déroule un contrôle de la Cnil doivent être « informés de leur droit à s'opposer à ces visites ».
L'article 9 bis tire les conséquences de cet arrêt en donnant à la Cnil la possibilité de demander au juge des libertés et de la détention l'autorisation préalable d'effectuer une visite inopinée « lorsque l'urgence, la gravité des faits justifiant le contrôle ou le risque de destruction ou de dissimulation de documents l'exigent ».
M. le président. - Amendement n°16, présenté par Mme Boumediene-Thiery et les membres du groupe socialiste, apparentés et rattachés.
Alinéa 3, deuxième phrase
Remplacer cette phrase par deux phrases ainsi rédigées :
Dans les autres cas, le responsable des lieux peut, après avoir été préalablement informé de cette possibilité, s'opposer à la visite. Elle ne peut alors se dérouler qu'avec l'autorisation du juge des libertés et de la détention.
Mme Alima Boumediene-Thiery. - La loi informatique et libertés est une belle loi, mais elle doit être adaptée pour mieux respecter l'équité de la procédure suivie en matière de visite domiciliaire.
Dans sa décision du 6 novembre 2009, le Conseil d'État a fixé un certain nombre de règles en matière de droit de visite : soit la visite est préalablement autorisée par le juge et, dans ce cas-là, la Cnil est dispensée du consentement du responsable des lieux, soit la visite a lieu après un refus de la personne car l'autorité judiciaire l'a autorisée a posteriori.
La commission des lois prévoit que le juge pourra autoriser a priori une visite sans pour autant supprimer la procédure déjà existante qui consiste à demander une telle autorisation après un refus du responsable des lieux. Or, la Cnil n'est pas obligée d'avertir le responsable des lieux de la possibilité de s'opposer à une visite. La commission a donc conservé la procédure d'autorisation du juge a posteriori sans toutefois prévoir que le responsable des lieux pourra s'opposer à la visite. La procédure est, en pratique, vidée de son utilité en raison de l'absence d'information sur le droit d'opposition alors que ce droit devrait nécessairement être notifié, pour respecter l'article 6 de la Convention européenne des droits de l'homme.
Le responsable des lieux doit être informé qu'il peut s'opposer à une visite. Il est en effet incohérent que le droit d'opposition à une visite, inscrit dans la loi, ne soit en pratique pas exercé en raison d'une absence de notification de ce droit.
Je me félicite que notre amendement ait été repris par M. Détraigne.
M. Christian Cointat, rapporteur. - Ces deux amendements améliorent le texte. Je préfère néanmoins celui de M. Détraigne qui respecte mieux l'ordre d'information et de décision.
L'amendement n°12 rectifié, accepté par le Gouvernement, est adopté.
L'amendement n°16 devient sans objet.
L'article 9 bis, modifié, est adopté.
L'article 10 demeure supprimé.
L'article 11 est adopté, ainsi que l'article 12.
Article 13
I. - Le chapitre VIII de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Chapitre VIII
« Dispositions relatives aux actions juridictionnelles
« Section 1
« Dispositions pénales
« Art. 50. - Les infractions aux dispositions de la présente loi sont réprimées par les articles 226-16 à 226-24 du code pénal.
« Art. 51. - Est puni d'un an d'emprisonnement et de 15 000 € d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés :
« 1° Soit en s'opposant à l'exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l'article 19 ;
« 2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l'article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;
« 3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu'il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.
« Art. 52. - I. - La Commission nationale de l'informatique et des libertés informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance.
« II. - Le procureur de la République avise le président de la Commission de toutes les poursuites relatives aux infractions visées aux articles 226-16 à 226-24 du code pénal et, le cas échéant, des suites qui leur sont données. Il l'informe de la date et de l'objet de l'audience de jugement par lettre recommandée adressée au moins dix jours avant cette date.
« Section 2
« Dispositions civiles
« Art. 52-1. - Dans les litiges civils nés de l'application de la présente loi, toute personne peut saisir à son choix, outre l'une des juridictions territorialement compétentes en vertu du code de procédure civile, la juridiction du lieu où il demeurait au moment de la conclusion du contrat ou de la survenance du fait dommageable.
« Section 3
« Observations de la Commission nationale de l'informatique et des libertés devant les juridictions civiles, pénales ou administratives
« Art. 52-2. - Les juridictions civiles, pénales ou administratives peuvent, d'office ou à la demande des parties, inviter la Commission nationale de l'informatique et des libertés à déposer des observations écrites ou à les développer oralement à l'audience.
« La Commission peut elle-même déposer des observations écrites devant ces juridictions ou demander à être entendue par elles ; dans ce cas, cette audition est de droit. »
II. - (Non modifié) Le 2° de l'article 11 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Au d), les mots : « et, le cas échéant, des juridictions, » sont supprimés ;
2° Le e) est ainsi rédigé :
« e) Elle saisit le procureur de la République et dépose des observations devant les juridictions dans les conditions prévues respectivement aux articles 52 et 52-2. »
M. le président. - Amendement n°38, présenté par le Gouvernement.
Supprimer cet article.
M. Jean-Marie Bockel, secrétaire d'État. - Le Gouvernement partage le souci exprimé par les auteurs de la proposition de loi que les juges français puissent être saisis et appliquer la loi informatique et libertés lorsqu'un litige oppose une personne résidant en France à un opérateur basé à l'étranger. Pour autant, la disposition proposée n'est pas utile car elle n'aura pas d'incidence sur les litiges internationaux.
Soit le défenseur est domicilié dans l'Union, et le règlement dit « Bruxelles I » permettra de traiter le litige.
Dans l'hypothèse où le défendeur n'est pas domicilié dans l'Union, le demandeur peut, en vertu des articles 42 et 46 du code de procédure civile, saisir les tribunaux français si le préjudice ou la prestation de service a été fourni en France. En outre, l'article 14 du code civil dispose que tout Français peut attraire devant les tribunaux français un défendeur étranger. La proposition de loi n'apporte donc rien par rapport au droit positif.
S'agissant des observations de la Cnil devant les juridictions, la section 3 tend à conférer à la Cnil le pouvoir de présenter des observations devant toutes les juridictions administratives, pénales et civiles, sur le modèle de la Halde.
La transposition n'apparaît pas pertinente. De fait, chaque autorité administrative indépendante est dotée d'un statut correspondant à sa mission spécifique : la Halde intervient volontairement devant les juridictions pénales afin d'apporter des preuves supplémentaires à l'appui de la demande d'une victime de discrimination ; la Cnil, experte dans un domaine technique, est invitée par une juridiction à présenter des observations. Pour la bonne marche de la justice, les juridictions doivent garder la maîtrise de l'organisation du débat contradictoire. En ce sens, la faculté pour un tiers au procès d'intervenir en faisant valoir ses observations doit rester tout à fait exceptionnelle. A défaut, se dessine le risque d'une instrumentalisation des procès. Pour toutes ces raisons, le Gouvernement vous propose, une fois de plus, un amendement de suppression.
M. Christian Cointat, rapporteur. - Monsieur le ministre, vos arguments ne sont pas dénués de pertinence, mais pourquoi rejeter purement cet article quand nous avons dit et répété à la Chancellerie que nous étions ouverts à toute proposition d'amélioration ? D'autant que nous sommes allés dans votre sens : nous avons supprimé tout ce qui dans le texte initial pouvait laisser croire que la Cnil était une juridiction !
Les dispositions de l'article 13 de ce texte ne visent pas le droit international privé, elles tendent à faciliter l'accès au juge civil pour les individus s'estimant lésés par un manquement à la loi « Informatique et libertés ». D'où la nécessité de les faire figurer dans ladite loi, et non dans un texte réglementaire. En outre, l'audition de droit de la Cnil permettra aux juridictions de disposer d'un avis technique dans une matière souvent complexe -nous l'avons constaté ce soir-, peu familière aux magistrats. Enfin, ces dispositions s'inspirent de celles retenues pour la Halde, soit. Mais il ne s'agit là que d'un cadre de réflexion que nous étions prêts à aménager, et qui pourra d'ailleurs l'être dans le cadre de la navette. Je suis déçu que vous n'ayez fait aucune proposition. J'en suis donc désolé, mais l'avis est défavorable.
M. Jean-Jacques Hyest, président de la commission. - Depuis le début, c'est non, non, non ! Tout se passe comme si le législateur était un enfant incapable d'élaborer des règles et qu'il fallait s'en remettre à ceux qui étudient le problème dans des ateliers ou autres lieux gouvernementaux...
M. François Marc. - A l'Élysée !
M. Jean-Jacques Hyest, président de la commission. - Pour preuve, on demande la plupart du temps au Parlement des ordonnances habilitant le Gouvernement à transposer des directives, estimant que les parlementaires en sont incapables. Je pourrais, néanmoins, citer quelques exemples où l'intervention du législateur a permis à la France d'échapper à une condamnation ; je pense, entre autres, au texte sur la société européenne, fruit de la collaboration de la commission des lois et de la Chancellerie. Plutôt que de demander la suppression de l'article, vous auriez pu relever l'ambiguïté de la rédaction de l'article 52-1, proposée à l'alinéa 15. De fait, le code de la consommation prévoit des dispositions de procédure civile qui sont législatives alors que le code de procédure civile est normalement intégralement réglementaire. De même, vous auriez pu être réservé, comme moi, devant la tendance consistant à accorder un droit d'ingérence, si j'ose dire, à la Cnil après en avoir doté la Halde à l'alinéa 19. Mais vous avez préférer tout jeter aux orties ! (M. Christian Cointat, rapporteur, acquiesce) C'est que certains accordent une importance relative à l'initiative parlementaire... (Mme Nicole Borvo Cohen-Seat s'exclame) Bref, nous ne sommes peut-être pas encore un « hyper-Parlement », mais le Sénat contribue, ce soir, à son avènement ! (Applaudissements à droite et au centre)
M. Alex Türk. - Ce sont les juridictions qui font appel à la Cnil...
M. Jean-Jacques Hyest, président de la commission. - Je visais le cas où les juridictions ne le demandent pas, soit l'alinéa 19 !
M. Alex Türk. - ...en recourant au statut de témoin ou à d'autres statuts. Si nous ne réglons pas cette difficulté, une des parties pourra continuer de s'opposer à l'intervention de la Cnil. Enfin, je n'ai aucun tropisme pour la Halde, je comprends parfaitement que celles-ci disposent de pouvoirs et statuts différents.
L'amendement n°38 n'est pas adopté.
L'article 13 est adopté.
L'article 13 bis est adopté, de même que l'article 14.
Interventions sur l'ensemble
M. Yves Détraigne, coauteur de la proposition de loi. - Sans vouloir rallonger nos débats, permettez-moi de dire combien Mme Escoffier et moi-même sommes satisfaits de l'équilibre, trouvé grâce au rapporteur, pour adapter la législation fondatrice de 1978 à la croissance exponentielle du numérique. Puisse ce texte, dont nous sommes à l'origine, être encore amélioré au cours de la navette pour enrichir notre droit positif !
M. Antoine Lefèvre. - Ce texte relève un défi difficile : répondre à la l'exigence de protection de la vie privée tout en respectant la liberté des acteurs du numérique. Pour parvenir à un équilibre, notre rapporteur a privilégié, d'une part, la responsabilité et, donc, la sensibilisation des internautes et, d'autre part, le renforcement de la loi Informatique et libertés avec le renforcement des obligations d'information du responsable du traitement, la mise en place d'un véritable droit à l'oubli ou encore la volonté de favoriser le dialogue entre la Cnil et les services expérimentant des traitements. Pour autant, notre volonté de légiférer se heurte à une double difficulté : la réflexion doit être menée à l'échelle internationale en matière de compétence juridictionnelle et nous n'avons pas le recul nécessaire pour apprécier l'utilisation d'internet, notamment des réseaux sociaux. Malgré ces réserves, le groupe UMP votera ce texte qui constitue une avancée pour le citoyen éclairé à l'heure du numérique.
M. Charles Gautier. - Spontanément favorables à cette proposition de loi, nous considérions le travail de la commission en février dernier plutôt positif. Quelle n'a pas été notre surprise de découvrir, ce matin, l'attitude très fermée du Gouvernement et ses amendements de suppression ! Le rapporteur a été fidèle aux débats tenus en commission, je le reconnais. Mais notre enthousiasme est retombé : nous nous abstiendrons.
Nous nous abstiendrons donc, dans un esprit plutôt négatif, car nos inquiétudes ne sont pas dissipées. Nous resterons vigilants.
Mme Nicole Borvo Cohen-Seat. - Et nous nous abstiendrons, dans un esprit franchement négatif motivé par les réticences du Gouvernement.
L'ensemble de la proposition de loi est adopté.