LES CONCLUSIONS DE LA COMMISSION
Réunie le mercredi 23 juin 2004 sous la présidence de M. René Garrec, président, la commission des Lois a examiné, en deuxième lecture, sur le rapport de M. Alex Türk, le projet de loi n° 285 (2003-2004), adopté avec modifications par l'Assemblée nationale en deuxième lecture, relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Après avoir indiqué que le projet de loi tendait à mettre en oeuvre la directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dont la transposition avait déjà six années de retard , le rapporteur a rappelé les principales modifications apportées par l'Assemblée nationale :
- l'habilitation des sociétés d'auteurs à mettre en oeuvre des traitements portant sur les auteurs d'infractions dont elles ont été victimes ;
- l'encadrement du statut des correspondants à la protection des données personnelles chargés de contrôler l'application de la loi au sein des organismes tant publics que privés en échange d'une dispense de formalités préalables, afin d'affirmer leur indépendance et les conditions de leur intervention, limitée aux traitements soumis à simple déclaration ;
- la possibilité de prévoir une exemption de contrôle sur place pour les fichiers intéressant la sûreté nationale ;
- ainsi que le renforcement des pouvoirs de sanction de la CNIL (tant en matière de publicité que de sanctions pécuniaires).
Le rapporteur s'est félicité de ces apports, soulignant qu'ils correspondaient à une démarche pragmatique . Il a insisté sur l'urgence de l'adoption du présent projet de loi, rappelant les dangers nouveaux auxquels étaient exposées les personnes physiques, du fait notamment du développement de la géolocalisation (possible à partir d'un téléphone portable, même éteint), de la biométrie et de l'utilisation d'Internet.
La commission propose d'adopter le projet de loi sans modification.
EXPOSÉ GÉNÉRAL
Mesdames, Messieurs,
Le Sénat est appelé à examiner en deuxième lecture le projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, à l'origine de la première autorité administrative indépendante, la Commission nationale de l'informatique et des libertés (CNIL).
Ce texte tend à transposer la directive 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, qui présente des différences substantielles avec la loi du 6 janvier 1978.
Si cette loi a été maintenue, pour des raisons symboliques, sa présentation a été profondément remaniée, afin de suivre l'ordre de la directive, ce qui explique des déplacements de dispositions figurant déjà, par ailleurs, dans la loi en vigueur.
Outre la substitution de la notion de « données à caractère personnel » à celle d'« informations nominatives » pour recouvrir, outre le texte, l'image et le son, le projet de loi poursuit plusieurs objectifs.
Actuellement, la loi du 6 janvier 1978 prévoit des formalités préalables à la mise en oeuvre de tout traitement automatisé d'informations nominatives différentes selon la nature du responsable du traitement, les traitements publics requérant un avis de la CNIL, puis un acte réglementaire d'autorisation, les traitements privés étant soumis à une simple déclaration.
Parallèlement, la loi prévoit une simple déclaration de conformité aux normes simplifiées élaborées par la CNIL pour les traitements (tant publics que privés) les plus courants ne portant manifestement pas atteinte à la vie privée ou aux libertés, tandis que certaines données dites sensibles, telles les origines raciales, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales ou les moeurs, le numéro de sécurité sociale, les condamnations pénales et désormais les données médicales font l'objet de réglementations spécifiques.
Conformément à la directive, le projet de loi retient un critère matériel de contrôle, le développement considérable de l'informatique au sein des entreprises ayant montré qu'à côté des grands ordinateurs publics, certains traitements privés pouvaient porter atteinte aux libertés individuelles, en conduisant notamment à refuser des prestations à une personne.
Les traitements de données à caractère personnel, publics comme privés, devront désormais uniquement faire l'objet d'une déclaration préalable auprès de la CNIL, seuls demeurant soumis à autorisation préalable les traitements susceptibles de comporter des risques particuliers au regard des droits et des libertés.
A l'inverse, ceux non susceptibles de porter atteinte aux droits et libertés des personnes concernées pourront ne donner lieu qu'à une déclaration simplifiée, voire être exonérés de toute formalité.
Parallèlement à la limitation des contrôles a priori , la directive invite à un recentrage de la CNIL, trop tournée vers un contrôle essentiellement formel et a priori sur les déclarations, vers un contrôle a posteriori . En effet, des millions de traitements n'ont pas été déclarés, tandis que la répression est restée faible (61 avertissements et 35 dénonciations au parquet depuis 1978), en raison notamment des moyens réduits dont dispose la CNIL (82 agents).
La CNIL devra disposer en particulier de pouvoirs d'investigation ou d'accès aux données ainsi que de pouvoirs « effectifs d'intervention » lui permettant d'ordonner le verrouillage, l'effacement ou la destruction des données. Le président de la CNIL se verra mieux associé aux procédures judiciaires, et pourra saisir le président du tribunal d'instance en référé.
Le projet de loi prévoit surtout des pouvoirs de sanction administrative graduée , la CNIL pouvant prononcer des avertissements, mises en demeure ou injonctions de cesser le traitement à l'égard du responsable contrevenant aux dispositions de la loi, et, à l'issue d'une procédure contradictoire, prononcer une sanction pécuniaire.
Enfin, le projet de loi consacre la liberté de circulation des données dans l'Union européenne , tout en encadrant les transferts de données en direction des Etats tiers, subordonnés à un niveau de protection « suffisant », des dérogations étant néanmoins prévues.
Votre commission ne peut que regretter le retard de transposition de cette directive, qui expose la France à des actions en manquement. Ainsi, alors que la transposition devait intervenir avant le 24 octobre 1998, l'examen du projet de loi a commencé avec plus de trois ans de retard, puisque ce texte a été examiné en première lecture à l'Assemblée nationale le 30 janvier 2002, puis plus d'un an plus tard au Sénat le 1 er avril 2003, et enfin à l'Assemblée nationale en deuxième lecture le 29 avril dernier.
Le projet de loi initial comportait 17 articles. Après deux lectures à l'Assemblée nationale et une au Sénat, et compte tenu des ajouts opérés par chaque assemblée, 13 articles restent en discussion, dont deux insérés par l'Assemblée nationale en deuxième lecture.
Après avoir rappelé les apports du Sénat en première lecture, votre rapporteur évoquera les modifications apportées au texte de l'Assemblée nationale en deuxième lecture, avant de présenter les propositions de votre commission des Lois.
I. LES MODIFICATIONS APPORTÉES PAR LE SÉNAT EN PREMIÈRE LECTURE
Tout en avalisant largement le projet de loi et les modifications apportées en première lecture par l'Assemblée nationale, le Sénat a cherché à concilier le renforcement de la protection des personnes avec la préservation des intérêts des entreprises, de la recherche et de l'intérêt général.
1. La promotion de l'anonymisation des données à caractère personnel
Le Sénat a ainsi tout d'abord défini plus clairement les données rendues anonymes, pour des motifs de sécurité juridique (article 2 de la loi du 6 janvier 1978 modifié par l'article 1 er du projet de loi).
Par ailleurs, il a également autorisé les traitements d'anonymisation portant sur des données sensibles , notamment de santé, à condition que des garanties aient été préalablement reconnues par la CNIL et prévu un allègement des informations à fournir aux personnes concernées pour ces traitements (articles 8, 11 et 32 de la loi du 6 janvier 1978 modifiés par les articles 2, 3 et 5 du projet de loi).