Projet de loi Protection des données personnelles
Direction de la Séance
N°94
19 mars 2018
(1ère lecture)
(PROCÉDURE ACCÉLÉRÉE)
(n° 351 , 350 )
AMENDEMENT
C | Favorable |
---|---|
G | Favorable |
Adopté |
présenté par
Le Gouvernement
ARTICLE ADDITIONNEL APRÈS ARTICLE 13 BIS
Après l’article 13 bis
Insérer un article additionnel ainsi rédigé :
I. – L’article L. 4123-9-1 du code de la défense est ainsi rédigé :
« Art. L. 4123-9-1. – I. – Le responsable d’un traitement, automatisé ou non, ne peut traiter les données dans lesquelles figure la mention de la qualité de militaire des personnes concernées que si cette mention est strictement nécessaire à l’une des finalités du traitement.
« À l’exclusion des traitements mis en œuvre pour le compte de l’État, des collectivités territoriales et de leurs groupements, ainsi que des associations à but non lucratif, les responsables des traitements informent le ministre compétent de la mise en œuvre de traitements comportant, dans le respect de l’obligation posée au premier alinéa, la mention de la qualité de militaire.
« Les personnes accédant aux données personnelles de militaires peuvent faire l’objet d’une enquête administrative aux seules fins d’identifier si elles constituent une menace pour la sécurité des militaires concernés. Le ministre compétent peut demander au responsable de traitement la communication de l’identité de ces personnes dans le seul but de procéder à cette enquête. Celle-ci peut comporter la consultation de traitements automatisés de données à caractère personnel relevant de l’article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, selon les règles propres à chacun d’eux.
« Dans l’hypothèse où le ministre compétent considère, sur le fondement de l’enquête administrative, que cette menace est caractérisée, il en informe sans délai le responsable du traitement qui est alors tenu de refuser à ces personnes l’accès aux données personnelles de militaires y figurant.
« II. – Sans préjudice des dispositions du 1 de l’article 33 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, en cas de divulgation ou d’accès non autorisé à des données des traitements mentionnés au I, le responsable du traitement avertit sans délai le ministre compétent.
« III. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, détermine les conditions d’application du présent article.
« IV. – Est puni :
« 1° D’un an d’emprisonnement et de 100 000 euros d’amende le manquement, y compris par négligence, à l’obligation prévue au deuxième alinéa du I du présent article ;
« 2° De trois ans d’emprisonnement et de 300 000 euros d’amende le fait de permettre aux personnes mentionnées au dernier alinéa du I l’accès aux données comportant la mention de la qualité de militaire contenues dans un traitement mentionné au présent article ;
« 3° De trois ans d’emprisonnement et de 300 000 euros d’amende le fait pour un responsable de traitement de ne pas procéder, y compris par négligence, à la notification mentionnée au II. »
II. – Dans le délai d’un an suivant l’entrée en vigueur de la présente loi, les responsables des traitements de données à caractère personnel comportant la mention de la qualité de militaire procèdent à sa suppression ou à son remplacement par celle de la qualité d’agent public, lorsque cette mention n’est pas strictement nécessaire à l’une des finalités du traitement.
III. – Le troisième alinéa de l’article 226-16 et le second alinéa de l’article 226-17-1 du code pénal sont supprimés.
IV. – L’article 117 de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale est abrogée.
Objet
L’entrée en vigueur du règlement européen de protection des données (RGPD) à compter du 25 mai 2018 rompt avec la logique des formalités préalables. Les hypothèses dans lesquelles une autorisation préalable de la Commission nationale de l’informatique et des libertés (CNIL) est requise sont désormais résiduelles et limitées aux traitements les plus sensibles tels que les fichiers dits de souveraineté ou ceux comportant des données génétiques ou biométriques. A cette aune, il convient de refondre le dispositif mis en œuvre par l’article 117 de la loi du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale.
En effet, ce dispositif prévoit un régime d’autorisation auprès de la CNIL pour mettre en œuvre un traitement de données à caractère personnel dont la finalité est fondée sur la qualité de militaire des personnes qui y figurent. Il prévoit également la réalisation d’une enquête administrative sur la personne responsable du traitement ainsi que sur les personnes accédant aux données comportant la qualité de militaire. Enfin, des prescriptions techniques peuvent être imposées aux opérateurs privés concernés par le dispositif.
Dans un souci d’allègement des formalités préalables et des sujétions imposées aux opérateurs privés, le présent amendement remanie ce dispositif pour le rendre plus efficace et opérationnel.
Conformément à l’article 5.1 du RGPD, le responsable d’un traitement ne pourra conserver la mention de la qualité de militaire des personnes dont les données sont traitées que si celle-ci est strictement nécessaire à l’une des finalités du traitement. Une campagne de sensibilisation des opérateurs privés sera à ce titre réalisée par le ministère des armées.
Pour les traitements dont la mention de la qualité de militaire est strictement nécessaire à l’une des finalités de ces traitements, les responsables de traitement seront uniquement tenus d’informer le ministre compétent de leur mise en œuvre et ne seront plus soumis à un régime d’autorisation ou de déclaration auprès de la CNIL. En outre, et à la différence du dispositif actuel, l’obligation d’information ne pèsera pas sur les collectivités territoriales et leurs groupements, pas davantage que sur les associations à but non lucratif.
Par ailleurs, le ministère des armées pourra le cas échéant décider de s’assurer de la sécurité des traitements en cause en procédant à une enquête administrative sur les personnes accédant aux données personnelles de militaires, sans que cette enquête ne soit désormais une obligation.
Ce projet d’article entend ainsi concilier l’impératif de sécurité des militaires qui a prévalu à la mise en œuvre de ce dispositif et l’objectif d’allègement des obligations pesant sur les opérateurs privés.