N° 218
SÉNAT
SESSION ORDINAIRE DE 2002-2003
Annexe au procès-verbal de la séance du 19 mars 2003 |
RAPPORT
FAIT
au nom de la commission des Lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale (1) sur le projet de loi, ADOPTÉ PAR L'ASSEMBLÉE NATIONALE, relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l' informatique , aux fichiers et aux libertés ,
Par M. Alex TÜRK,
Sénateur.
(1) Cette commission est composée de : M. René Garrec, président ; M. Patrice Gélard, Mme Michèle André, MM. Pierre Fauchon, José Balarello, Robert Bret, Georges Othily, vice-présidents ; MM. Jean-Pierre Schosteck, Laurent Béteille, Jacques Mahéas, Jean-Jacques Hyest, secrétaires ; MM. Nicolas Alfonsi, Jean-Paul Amoudry, Robert Badinter, Mme Nicole Borvo, MM. Charles Ceccaldi-Raynaud, Christian Cointat, Raymond Courrière, Jean-Patrick Courtois, Marcel Debarge, Michel Dreyfus-Schmidt, Gaston Flosse, Jean-Claude Frécon, Bernard Frimat, Jean-Claude Gaudin, Charles Gautier, Daniel Hoeffel, Pierre Jarlier, Lucien Lanier, Jacques Larché, Jean-René Lecerf, Gérard Longuet, Mme Josiane Mathon, MM. Jacques Peyrat, Jean-Claude Peyronnet, Henri de Richemont, Josselin de Rohan, Bernard Saugey, Jean-Pierre Sueur, Simon Sutour, Alex Türk, Maurice Ulrich, Jean-Paul Virapoullé, François Zocchetto.
Voir les numéros :
Assemblée Nationale ( 11 e législ.) : 3250, 3256 et T.A. 780
Sénat : 203 (2001-2002)
Droits de l'homme et libertés publiques. |
LES CONCLUSIONS DE LA COMMISSIONRéunie le mercredi 19 mars 2003 sous la présidence de M. René Garrec, la commission des Lois a examiné, sur le rapport de M. Alex Turk, le projet de loi n° 203 (2001-2002), adopté par l'Assemblée nationale, relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. M. Alex Turk a tout d'abord rappelé que ce texte fondateur était appelé à évoluer afin d'assurer la transposition de la directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, mais aussi de prendre en compte le développement de la micro-informatique privée, qui substituait au risque d'un Etat Léviathan celui de milliers de Big brother privés potentiels. Il a donc considéré que la loi, fondée sur une distinction entre traitements publics et privés, et favorisant les contrôles préalables, n'était plus adaptée. Après avoir regretté les retards de la transposition, M. Alex Türk, rapporteur, s'est félicité de la hausse de la protection des personnes physiques résultant du renforcement pouvoirs de contrôle a posteriori de la CNIL prévu par le présent projet de loi. Il a toutefois souhaité y apporter des précisions. La commission des Lois a ainsi adopté 88 amendements tendant à concilier le renforcement de la protection des personnes avec la préservation des intérêts des entreprises et de la recherche et de l'intérêt général en : 1- encourageant l'anonymisation des données à caractère personnel (articles 2, 8 et 11 de la loi du 6 janvier 1978 modifiés par les articles 1 er , 2 et 3 du projet de loi) par des allègements de formalités préalables (articles 8 et 32 de la loi du 6 janvier 1978 modifiés par les articles 2 et 5 du projet de loi) ; 2- augmentant la protection des droits et libertés des personnes : - en remplaçant le terme d'« orientation sexuelle » par celui de « vie sexuelle » , moins restrictif (article 8 modifié de la loi du 6 janvier 1978) ; - en prévoyant que s'agissant de données sensibles, le consentement exprès des personnes concernées ne suffit pas nécessairement (article 8 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi) ; - en prenant en compte les traitements donnant lieu à des interconnexions et non pas uniquement ceux ayant cette finalité (article 27 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ; - en complétant la liste des informations devant être fournies à la CNIL par le responsable des traitements et en complétant l'information des personnes (articles 30 et 32 de la loi du 6 janvier 1978 modifiés par les articles 4 et 5 du projet de loi) ; - en érigeant en principe la publicité des avis, décisions et recommandations de la CNIL (article 31 de la loi du 6 janvier1978 modifié par l'article 4 du projet de loi) ; - en étendant l'obligation de sécurité (article 34 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi). 3- réorganisant et renforçant les pouvoirs de la CNIL - en élargissant le rôle de la CNIL (en soulignant son rôle de veille technologique, en encourageant sa collaboration avec d'autres autorités administratives indépendantes et en renforçant sa position lors des négociations internationales) (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi) ; - en étendant le champ des délégations au président et au vice-président délégué (article 15 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi). 4- préservant les intérêts économiques et la recherche - en dérogeant à l'interdiction de prendre des décisions produisant des effets juridiques à l'égard d'une personne sur le seul fondement d'un traitement automatisé de données à caractère personnel de « profiling » si les demandes de la personne concernée ont été satisfaites (article 10 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi) ; - en autorisant des déclarations uniques pour des catégories similaires de traitement relevant d'un même organisme (article 23 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ; - en restreignant le champ des traitements devant être soumis à l'autorisation de la CNIL à ceux ayant pour finalité d'exclure des personnes et non ceux ayant pour finalité d'attribuer des droits (article 25 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ; - en modifiant le régime introduit par l'Assemblée nationale concernant les témoins de connexion (cookies) afin de prendre en compte l'article 5 de la directive du 12 juillet 2002 dite « vie privée et communications électroniques » intervenue entre-temps : en supprimant la disposition interdisant de subordonner l'accès à un service en ligne à l'acceptation par l'internaute du traitement des informations enregistrées au moyen des témoins de connexion dans son équipement terminal ; en supprimant le régime répressif prévu ainsi que le caractère préalable de l'information requise (article 32 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi) ; - en transposant la dérogation à l'obligation d'information de la personne en cas de collecte indirecte des données si elle en a déjà été informée (article 32 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi) ; - en supprimant la possibilité accordée à la CNIL d'ordonner la destruction de traitements , le nouvel article 226-22-2 du code pénal donnant cette possibilité au juge (article 45 de la loi du 6 janvier 1978 modifié par l'article 7du projet de loi) ; - en autorisant des transferts de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection suffisant en cas d'existence d'un règlement intérieur présentant des garanties suffisantes (article 69 de la loi du 6 janvier 1978 modifié par l'article 12 du projet de loi) ; 5- développant une véritable collaboration avec la CNIL - en précisant que la CNIL doit informer les responsables de traitements et en permettant à des organismes de recherche de faire homologuer des règles professionnelles par la CNIL (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi) ; - en encourageant l'institution de correspondants de la CNIL dans les entreprises privées -sur la base du volontariat, et sur le modèle des correspondants existants dans la presse et dans les organismes publics-. Il s'agit d'une transposition d'une possibilité offerte par le point 2 de l'article 18 de la directive et déjà appliquée en Allemagne et en Suède. En contrepartie, les entreprises bénéficieront d'une exemption de déclaration de leurs traitements sous réserve de la tenue d'un registre (articles 11 et 22 de la loi du 6 janvier 1978 modifiés par les articles 3 et 4 du projet de loi) ; - en mettant à la disposition du public la liste des pays tiers réputés assurer un niveau de protection suffisant (article 31 de la loi du 6 janvier1978 modifié par l'article 4 du projet de loi) ; |