EXAMEN DES ARTICLES
TITRE PREMIER
DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978
RELATIVE A
L'INFORMATIQUE, AUX FICHIERS
ET AUX LIBERTÉS
Article
1er
(art. 2 à 5 du chapitre 1er de la loi n° 78-17 du 6 janvier
1978)
Détermination du champ d'application de la loi
Le présent article regroupe les articles 2 à 5 modifiés de la loi du 6 janvier 1978, qui déterminent les principales définitions, le champ d'application et le droit national applicable.
Article 2 de la loi du 6 janvier
1978
Champ d'application matériel et
définitions
Le projet de loi substitue la notion de « données à caractère personnel » à celle « d'informations nominatives », conformément à la directive.
Actuellement, l'article 4 de la loi du 6 janvier 1978 définit les informations nominatives comme celles permettant « sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ».
Le projet de loi initial définissait les données à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». Cette définition étend le champ de la protection aux domaines de la voix et de l'image.
En première lecture, l'Assemblée nationale a précisé, conformément aux dispositions de la directive et à la définition actuelle, que cette identification peut être directe ou indirecte.
Afin de faciliter le recours aux traitements tendant à anonymiser ces données et d'éviter que des données issues de l'anonymisation soient encore soumises à la loi dès lors que les individus demeurent identifiables au moyen d'efforts exceptionnels, le Sénat, à l'initiative de votre commission, a précisé cette définition, en reproduisant le considérant 26 de la directive, qui précise que doivent être pris en considération pour déterminer si une personne est identifiable les moyens susceptibles d'être raisonnablement mis en oeuvre pour parvenir à l'identification de la personne concernée, ainsi que la personne susceptible de mettre en oeuvre ces moyens (le responsable du traitement ou une personne tierce).
Tout en partageant cette volonté d'encourager le développement des traitements d'anonymisation en clarifiant la frontière entre données à caractère personnel et données anonymes, l'Assemblée nationale a, en deuxième lecture, à l'initiative de son rapporteur M. Francis Delattre, et avec l'avis favorable du Gouvernement, adopté un amendement tendant à prévoir que, pour déterminer si une personne est identifiable, « l'ensemble des moyens destinés à permettre son identification » doit être pris en considération, nonobstant le caractère raisonnable ou non des procédés mis en oeuvre. La suppression de l'adverbe « raisonnablement » doit permettre de prévenir des difficultés d'interprétation.
Votre commission souscrit à cette volonté de sécurité juridique.
Article 3 de la loi du 6 janvier
1978
Responsable du traitement et destinataire
La définition du responsable et du destinataire du traitement a été adoptée dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 4 de la loi du 6 janvier
1978
Copies temporaires
Les dispositions relatives aux copies temporaires ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 5 de la loi du 6 janvier
1978
Compétence territoriale
Les dispositions relatives à la compétence territoriale de la loi du 6 janvier 1978 ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Votre commission vous propose d'adopter l'article premier sans modification .
Article 2
(Chapitre II de la
loi n° 78-17 du 6 janvier 1978)
Conditions de licéité des
traitements
de données à caractère personnel
Cet article traite des conditions générales de licéité des traitements de données à caractère personnel, ainsi que des conditions particulières applicables aux traitements de données dites « sensibles » en raison de la nature des informations concernées.
Article 6 de la loi du 6 janvier
1978
Conditions de collecte et de traitement
L'article 6 reprendra l'essentiel des dispositions de la loi du 6 janvier 1978 déterminant les règles fondamentales de licéité des traitements des informations nominatives (notamment le respect des principes de loyauté et d'exactitude), tout en les complétant par les nouveaux principes de proportionnalité et de finalité issus de la directive.
Ainsi les données doivent-elle être collectées « pour des finalités déterminées » et ne peuvent-elles être « traitées ultérieurement de manière incompatible avec ces finalités ».
Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques, scientifiques ou historiques, sous réserve du respect de certaines dispositions prévues aux chapitres II (conditions de licéité), IV (formalités préalables à la mise en oeuvre des traitements) et V (obligations imposées aux responsables de traitements).
L'Assemblée nationale, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, a réparé une omission, en complétant ces références avec celles des chapitres IX et X, respectivement relatifs aux demandes d'autorisation pour les traitements de recherche médicale et pour les traitements de données de santé à des fins d'évaluation ou d'analyse des pratiques de santé, ce à quoi votre commission souscrit pleinement.
Article 7 de la loi du 6 janvier
1978
Conditions de licéité du
traitement
Les dispositions relatives aux conditions de licéité du traitement ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 8 de la loi du 6 janvier
1978
Interdiction de la collecte
et du traitement des
«
données sensibles
»
Tout en reprenant les dispositions de l'actuel article 31 de la loi du 6 janvier 1978, qui interdit « de mettre ou conserver en mémoire informatisée, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes », considérées comme des « données sensibles », cet article les complète, conformément à la directive, par une référence aux données relatives à la santé et à l'orientation sexuelle.
En première lecture, le Sénat, à l'initiative de son rapporteur, et toujours pour promouvoir l'anonymisation, a étendu les exceptions prévues à ce principe en autorisant les traitements portant sur des données sensibles appelées à faire l'objet « à bref délai d'un procédé d'anonymisation ». Néanmoins, ledit procédé devrait avoir été préalablement reconnu conforme aux dispositions de la loi du 6 janvier 1978 et il appartiendrait à la CNIL d'autoriser ou de refuser les traitements concernés « compte tenu de leur finalité ».
L'Assemblée nationale, tout en reconnaissant la pertinence de cet objectif, s'est inquiétée de la complexité du dispositif retenu par le Sénat.
En effet, ces traitements d'anonymisation sont susceptibles de relever de trois procédures concurrentes, respectivement prévues au chapitre IX nouveau de la loi du 6 janvier 1978 s'agissant des traitements ayant pour finalité la recherche dans le domaine de la santé (requérant une autorisation de la CNIL après avis du comité consultatif), au chapitre X de la loi s'agissant des traitements de données à des fins d'évaluation des pratiques de santé (requérant une autorisation expresse spécifique de la CNIL), et à l'article 25 modifié de la loi s'agissant de la procédure d'autorisation de droit commun.
A l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, l'Assemblée nationale a donc, en deuxième lecture unifié par souci de simplification les régimes d'autorisation au profit de la procédure de droit commun prévue à l'article 25 modifié de la loi.
Votre commission approuve cette volonté, ainsi que les deux amendements de précision adoptés par l'Assemblée nationale.
Article 9 de la loi du 6 janvier
1978
Traitements relatifs aux infractions,
condamnations
et mesures de sûreté
L'article 9 modifié, reprenant largement les dispositions de l'actuel article 30 de la loi, prévoit des garanties spécifiques aux traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté.
Ils ne peuvent être mis en oeuvre que par les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales, ainsi que les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi.
En première lecture, le Sénat, se fondant sur une possibilité offerte par la directive, avait, sur proposition de votre rapporteur, adopté un amendement permettant aux victimes d'infractions, pour les besoins de la lutte contre la fraude et dans des conditions prévues par une loi ultérieure, de mettre en oeuvre des traitements portant sur les auteurs d'infractions dont elles ont été victimes. Cet amendement visait, dans une démarche pragmatique, à permettre à la CNIL d'exercer un contrôle sur des traitements actuellement clandestins, et susceptibles de nuire aux droits des personnes concernées, notamment en matière d'accès au crédit ou au logement.
Souscrivant pleinement à cet objectif, l'Assemblée nationale a adopté à l'initiative du rapporteur de la commission des Lois et avec l'avis favorable du Gouvernement un amendement précisant que peuvent également mettre en oeuvre ces traitements les personnes agissant pour le compte des victimes, ces traitements pouvant également avoir pour objet de prévenir la fraude et de réparer le préjudice subi.
En outre, l'Assemblée nationale, toujours à l'initiative de son rapporteur, a adopté un amendement autorisant, dès l'entrée en vigueur de la présente loi, les sociétés de perception et de gestion des droits d'auteur à faire de même. La mise en oeuvre de ces traitements sera subordonnée à une autorisation de la CNIL prise en application du 3° de l'article 25.
Votre commission approuve ces deux utiles compléments.
Article 10 de la loi du 6 janvier
1978
Fondement des décisions
Les dispositions relatives au fondement des décisions ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Vous commission vous propose d'adopter l'article 2 sans modification .
Article 3
(Chapitre III de la
loi n° 78-17 du 6 janvier 1978)
Dispositions relatives à la
CNIL
Cet article vise à réformer la CNIL, en particulier sa composition, son rôle et ses méthodes.
Article 11 de la loi du 6 janvier
1978
Missions de la CNIL
L'Assemblée nationale, tout en approuvant très largement les missions dévolues à la CNIL, a précisé en deuxième lecture, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, une disposition introduite par le Sénat en première lecture à l'initiative de votre rapporteur, prévoyant que la CNIL peut apporter son concours à d'autres autorités administratives indépendantes en matière de protection des données. Elle a indiqué que la CNIL n'intervient qu'à la demande d'autres autorités administratives indépendantes.
Votre commission se félicite de cette précision.
Article 12 de la loi du 6 janvier
1978
Crédits
Les dispositions relatives aux crédits de la CNIL ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 13 de la loi du 6 janvier
1978
Membres de la CNIL
Les dispositions relatives aux membres de la CNIL ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 14 de la loi du 6 janvier
1978
Incompatibilités
Les dispositions relatives aux incompatibilités ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 15 de la loi du 6 janvier
1978
Formation plénière
L'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de précision, s'agissant des matières dans lesquelles la commission peut déléguer ses attributions à son président ou au vice-président délégué.
Votre commission y souscrit pleinement.
Article 16 de la loi du 6 janvier
1978
Bureau de la commission
L'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de correction d'une erreur de référence, s'agissant des attributions du bureau de la commission.
Votre commission approuve cette utile correction.
Article 17 de la loi du 6 janvier
1978
Formation restreinte
Les dispositions relatives aux pouvoirs de la formation restreinte ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 18 de la loi du 6 janvier
1978
Commissaire du Gouvernement
L'actuel article 9 de la loi du 6 janvier 1978 prévoit qu'un commissaire du Gouvernement, désigné par le Premier ministre et rattaché au Secrétariat général du Gouvernement, siège auprès de la commission. Il peut, dans les dix jours d'une délibération, provoquer une seconde délibération.
Alors que le projet de loi initial supprimait le délai de dix jours, l'Assemblée nationale l'a utilement rétabli à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, ce dont votre commission se félicite.
Article 19 de la loi du 6 janvier
1978
Services de la CNIL
Les dispositions relatives aux services de la CNIL ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 20 modifié de la loi du 6 janvier
1978
Secret professionnel des membres et agents de la
CNIL
Les dispositions relatives au secret professionnel des membres et agents de la CNIL ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 21 de la loi du 6 janvier
1978
Collaboration des personnes contrôlées
Les dispositions relatives à la collaboration des personnes contrôlées ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Votre commission des Lois vous propose d'adopter l'article 3 sans modification .
Article 4
(Chapitre IV de la
loi n° 78-17 du 6 janvier 1978)
Formalités préalables
à la mise en oeuvre des traitements
Régimes de la
déclaration et de l'autorisation
Cet article constitue l'une des dispositions majeures du projet de loi, puisqu'il substitue au critère organique actuel (traitements publics soumis à autorisation / traitements privés soumis à simple déclaration) un critère matériel, la déclaration devenant la procédure de droit commun et seuls les traitements présentant des risques pour les libertés individuelles (qu'ils émanent de personnes privées ou publiques) étant soumis à autorisation.
Article 22 de la loi du 6
janvier 1978
Régime de droit commun de la
déclaration
Cet article traite de la déclaration des traitements de données à caractère personnel auprès de la CNIL, désormais régime de droit commun.
Il prévoit en outre de dispenser de toute formalité préalable, outre les traitements mis en oeuvre par les organismes à caractère religieux, philosophique, politique ou syndical, ceux ayant pour seul objet la tenue d'un registre destiné à l'information du public en vertu de dispositions législatives ou réglementaires, comme les registres du cadastre ou des hypothèques.
L'Assemblée nationale, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, a souhaité préciser que ces traitements devaient avoir l'information du public pour objet exclusif, ce que votre commission approuve.
Par ailleurs, le Sénat avait en première lecture introduit à l'initiative de votre rapporteur une nouvelle dérogation à l'obligation de notification, s'agissant des traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer l'application des obligations prévues au présent chapitre et de tenir un registre des traitements effectués.
Prévue par la directive 95/46 pour les Etats membres le souhaitant (comme l'Allemagne, les Pays-Bas et la Suède), cette dérogation avait été cantonnée par le projet de loi initial à la presse.
Or, le Sénat avait considéré que la mise en place d'un réseau de correspondants dans les entreprises, associations ou collectivités territoriales, à l'instar de ce qui existe déjà, d'une certaine manière, dans les ministères, permettrait à la CNIL de mieux protéger les libertés individuelles.
Cette nouvelle dérogation avait cependant été encadrée :
- les formalités préalables demeureraient requises en cas de transfert envisagé de données vers un Etat tiers ;
- le correspondant devrait tenir un registre des traitements effectués immédiatement accessible à toute personne en faisant la demande ;
- la désignation du correspondant serait notifiée à la CNIL et portée à la connaissance des instances représentatives du personnel ;
- le correspondant ne pourrait faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions, et pourrait saisir la CNIL des difficultés rencontrées dans l'exercice de ses attributions ;
- en cas de manquement constaté à ses devoirs, le correspondant pourrait être révoqué, sur demande ou après consultation de la CNIL, et le responsable du traitement recevoir une injonction de procéder à la déclaration.
Un décret en Conseil d'Etat précisant les modalités d'application de cet article était également prévu.
L'Assemblée nationale, tout en souscrivant pleinement à l'objectif de rapprochement de la CNIL et des entreprises, a en deuxième lecture souhaité améliorer le dispositif sans attendre la parution du décret en Conseil d'Etat.
A l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, elle a donc adopté un amendement prévoyant que :
- le correspondant exerce ses attributions d'une manière indépendante et doit bénéficier des qualifications requises. Même si le texte ne le précise pas, il est clair que ces qualifications seront portées à la connaissance de la CNIL ;
- cette dérogation concerne également les traitements susceptibles de faire l'objet d'une déclaration simplifiée ; elle ne porte pas en revanche sur les traitements nécessitant une autorisation préalable (ce qui était déjà prévu par le Sénat mais est formulé de manière plus explicite). La rédaction adoptée par l'Assemblée nationale laisse penser que le correspondant sera désigné pour certains traitements seulement de l'organisme. Bien entendu, il le sera en réalité pour l'ensemble ;
- en cas de non-respect des dispositions de la loi, la CNIL peut enjoindre au responsable du traitement de procéder aux formalités de déclaration.
Votre commission approuve ces utiles éclaircissements.
Article 23 de la loi du 6 janvier
1978
Déclaration
Les dispositions relatives à la déclaration ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 24 de la loi du 6 janvier
1978
Normes simplifiées
Les dispositions relatives aux normes simplifiées ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 25 de la loi du 6 janvier
1978
Régime général
d'autorisation
Le dispositif proposé pour l'article 25 modifié de la loi du 6 janvier 1978 distingue huit catégories de traitements soumis à l'autorisation préalable de la CNIL en se fondant, d'une part, sur la nature des données concernées et, d'autre part, sur la finalité des traitements.
L'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de précision, un amendement de coordination, ainsi qu'un amendement rédactionnel, auxquels votre commission souscrit.
Article 26 de la loi du 6 janvier
1978
Traitements mis en oeuvre pour le compte de
l'Etat
Traitements portant sur des données sensibles
Les dispositions relatives aux traitements mis en oeuvre pour le compte de l'Etat et aux traitements portant sur des données sensibles ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 27 de la loi du 6 janvier
1978
Traitements publics -
Traitements requérant
une consultation du RNIPP
Cet article précise les conditions d'autorisation des traitements publics requérant la consultation du répertoire national d'identification des personnes physiques.
Le projet de loi prévoit que sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques.
A l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, l'Assemblée nationale a en deuxième lecture adopté un amendement prévoyant que les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et portant sur des données biométriques nécessaires à l'authentification et au contrôle de l'identité des personnes sont soumis à la même procédure.
Par ailleurs, l'Assemblée nationale a, toujours à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, ajouté à la liste des traitements autorisés par simple arrêté pris après avis motivé et publié de la CNIL les traitements tendant à mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique et ayant recours au numéro d'inscription des personnes au répertoire national d'identification, afin de faciliter le développement de l'administration électronique. La notion de téléservices de l'administration électronique devra être précisée par décret, de manière à ce que la compétence de la CNIL soit nettement définie car de très nombreux services administratifs seront à l'avenir offerts sous forme de téléprocédures.
Votre commission approuve ces différents apports.
Article 28 de la loi du 6 janvier
1978
Procédures et délais
Les dispositions relatives aux procédures et délais ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 29 de la loi du 6 janvier
1978
Mentions obligatoires dans les autorisations
Les dispositions relatives aux mentions obligatoires dans les autorisations ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
SECTION
3
Dispositions communes à la déclaration
et à
l'autorisation préalables
La section 3 de ce chapitre IV regroupe les dispositions communes concernant les régimes de déclaration et d'autorisation.
Article 30 de la loi du 6 janvier
1978
Informations requises
L'article 30 précise les informations que doivent contenir les déclarations, demandes d'autorisation et d'avis adressées à la CNIL.
Ainsi, le responsable doit notamment indiquer les interconnexions éventuelles avec d'autres traitements. Afin d'améliorer l'information de la CNIL, l'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, prévu que devront également être signalés les rapprochements ou toute autre forme de mise en relation avec d'autres traitements.
En outre, l'Assemblée nationale a, toujours à l'initiative du rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement afin de préciser que l'obligation de mentionner les transferts de données à caractère personnel envisagés vers des Etats tiers ne touchait pas les traitements utilisés aux seules fins de transit sur le territoire d'un Etat membre.
Votre commission souscrit à ces précisions.
Article 31 de la loi du 6 janvier
1978
Mise à la disposition du public de listes de
traitements
S'agissant des documents que la CNIL tient à la disposition du public, l'Assemblée nationale a, toujours à l'initiative du rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement afin de préciser que seule la fonction de la personne responsable du droit d'accès et non son nom devait être communiquée.
Votre commission des Lois vous propose d'adopter l'article 4 sans modification .
Article 5
(Chapitre V de la loi
n° 78-17 du 6 janvier 1978)
Obligations des responsables des
traitements
et droits des personnes concernées
SECTION 1
Obligations incombant aux responsables des
traitements
Article 32 de la loi du 6 janvier
1978
Obligation d'information
Cet article traite des informations devant être délivrées à la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant.
A l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, l'Assemblée nationale a adopté un amendement reprenant les dispositions actuelles du deuxième alinéa de l'article 27 de la loi du 6 janvier 1978 afin de prévoir que lorsque des données à caractère personnel sont recueillies par voie de questionnaires, ceux-ci doivent indiquer l'identité du responsable du traitement, la finalité de ce dernier, le caractère facultatif ou obligatoire des réponses ainsi que les droits d'opposition, d'accès et de rectification reconnus aux personnes.
L'Assemblée nationale a en outre adopté un amendement du même auteur, toujours avec l'avis favorable du Gouvernement, permettant la réutilisation des données à caractère personnel aux fins d'établissement de statistiques ou de recherches scientifiques (sans, dans ce dernier cas, qu'il soit alors nécessaire d'informer la personne concernée).
Votre commission approuve ces deux compléments.
Article 33 de la loi du 6 janvier
1978
Certification électronique des signatures
électroniques
Les dispositions relatives à la certification électronique des signatures électroniques ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 34 de la loi du 6 janvier
1978
Obligation de sécurité
Les dispositions relatives aux obligations de sécurité ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 35 de la loi du 6 janvier
1978
Sous-traitance
Les dispositions relatives à la sous-traitance ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 36 de la loi du 6 janvier
1978
Durée de conservation
S'agissant des dispositions relatives à la durée de conservation, l'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de coordination avec la codification de la loi n° 79-18 du 3 janvier 1979 relative aux archives, initiative bienvenue.
Article 37 de la loi du 6 janvier
1978
Tiers non autorisé
S'agissant des dispositions relatives aux tiers non autorisés, l'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de coordination avec la codification de la loi n° 79-18 du 3 janvier 1979 relative aux archives, ce dont votre commission se félicite.
SECTION
2
Droits des personnes à l'égard des
traitements de
données à caractère personnel
(droits d'opposition,
d'accès et de rectification)
Article 38 de la loi du 6 janvier
1978
Droit d'opposition
Les dispositions relatives au droit d'opposition ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 39 de la loi du 6 janvier
1978
Droit d'accès
L'article 39 traite du droit d'accès des personnes physiques aux données à caractère personnel les concernant.
L'Assemblée nationale, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, a en deuxième lecture adopté un amendement tendant à préciser qu'une personne ne peut se prévaloir du droit d'accès aux informations permettant de connaître et de contester la logique sous-tendant le traitement automatisé que lorsqu'une décision est prise sur son fondement et produit des effets juridiques à son égard, et non simplement lorsque les résultats de celui-ci lui sont opposés.
Votre commission souscrit à cette précision.
Article 40 de la loi du 6 janvier
1978
Droit de rectification
A cet article, relatif au droit de rectification, l'Assemblée nationale a en deuxième lecture adopté un amendement rédactionnel, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, ce que votre commission approuve.
Article 41 de la loi du 6 janvier
1978
Droit d'accès indirect en matière de
traitements de souveraineté
Les dispositions relatives au droit d'accès indirect en matière de traitements de souveraineté ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 42 de la loi du 6 janvier
1978
Droit d'accès indirect en matière
d'infractions et d'impositions
Les dispositions relatives au droit d'accès indirect en matière d'infractions et d'impositions ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Votre commission des Lois vous propose d'adopter l'article 5 sans modification .
Article 6
(Chapitre VI de la
loi n° 78-17 du 6 janvier 1978)
Pouvoirs de contrôle sur place et
sur pièces de la CNIL
L'article 6 traite des pouvoirs de contrôle sur place et sur pièces de la CNIL.
A l'initiative du Gouvernement et avec l'avis favorable du rapporteur, l'Assemblée nationale a adopté un amendement prévoyant que le décret en Conseil d'Etat autorisant en application du III de l'article 26 une dispense de publication de l'acte réglementaire autorisant les traitements intéressant la sûreté de l'Etat peut également exempter ces traitements des modalités de contrôles sur place et sur pièces reconnues aux membres et agents de la CNIL (accès aux locaux de 6 heures à 21 heures, demande de communication de tous documents nécessaires pour l'accomplissement de leur mission).
Cette dérogation exceptionnelle de contrôle a posteriori pour les fichiers les plus sensibles de la DST et de la DGSE ne remet cependant pas en cause le contrôle préalable de la CNIL, et devrait faciliter la coopération internationale, notamment en matière de lutte contre le terrorisme. Elle ne remet pas non plus en cause l'exercice du droit d'accès indirect sur ces fichiers.
Votre commission, consciente des impératifs de sécurité, vous propose d'adopter l'article 6 sans modification .
Article 7
(Chapitre VII de la
loi n° 78-17 du 6 janvier 1978)
Pouvoirs de sanction administrative de
la CNIL
La directive vise à renforcer le contrôle a posteriori , contrepartie indispensable de l'allègement des formalités préalables et de la priorité donnée à la procédure de déclaration. Afin de maintenir un niveau de protection équivalent, le projet de loi dote la CNIL de moyens d'intervention a posteriori et de sanctions accrus.
Article 45 de la loi du 6 janvier
1978
Pouvoir de sanction administrative - Juge des
référés
La création d'un dispositif de sanction pécuniaire par l'autorité de contrôle, qui n'était pas requise par la directive.
En première lecture, alors que votre commission proposait une simple amélioration rédactionnelle, le Sénat avait, malgré l'avis défavorable du rapporteur, mais avec l'approbation du Gouvernement, adopté un amendement présenté par MM. Jean-Jacques Hyest, Patrice Gélard et les membres du groupe de l'Union pour un mouvement populaire, tendant à limiter la possibilité pour la CNIL de prononcer des sanctions pécuniaires aux seuls cas où des profits ou des avantages économiques auraient été tirés de la mise en oeuvre du traitement.
Si les auteurs de l'amendement et le Gouvernement arguaient du principe de proportionnalité et estimaient que les sanctions financières pourraient être disproportionnées par rapport aux capacités des entreprises et mettre leur survie en danger, votre rapporteur rappelait en revanche la modération dont avait toujours fait preuve la CNIL (18 dénonciations au parquet et 47 avertissements en 25 ans), et soulignait qu'il s'agissait d'un affaiblissement contraire à l'objectif de renforcement des pouvoirs de contrôle a posteriori de la CNIL.
L'Assemblée nationale, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, a en deuxième lecture supprimé cette disposition, qui traduisait une certaine méfiance vis-à-vis de la CNIL, tout en précisant que l'Etat était exclu du champ de ces sanctions. Ainsi que l'a souligné le Garde des Sceaux, la CNIL ne disposant pas de la personnalité morale, lui permettre d'infliger des sanctions à l'Etat reviendrait à ce que l'Etat s'impose à lui-même une amende.
Par ailleurs, l'Assemblée nationale a en deuxième lecture, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, amendé les mesures prévues par le projet de loi initial en cas d'urgence et de menaces pour les libertés, selon lesquelles, après une procédure contradictoire, la CNIL pourrait décider l'interruption de la mise en oeuvre du traitement ou le verrouillage de certaines des données traitées, pour une durée maximale de trois mois (hormis pour les traitements dits de souveraineté), afin de moduler les pouvoirs de verrouillage de la CNIL en fonction de la nature des traitements.
Ainsi, la CNIL pourrait décider l'interruption de la mise en oeuvre du traitement, pour une durée maximale de trois mois, s'il ne s'agissait ni d'un traitement de souveraineté ni d'un traitement mis en oeuvre par l'Etat requérant une consultation du répertoire national d'identification des personnes physiques (I et II de l'article 26, et article 27).
Elle pourrait en outre décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, s'il ne s'agissait pas de traitements de souveraineté (I et II de l'article 26).
Votre commission approuve ces dispositions, ainsi que l'amendement de coordination rédactionnelle du même auteur adopté par l'Assemblée nationale.
Article 46 de la loi du 6 janvier
1978
Procédure en matière de sanction
Cet article précise la procédure de prise de sanctions.
Le projet de loi initial prévoyait que la CNIL puisse décider de rendre publiques les sanctions qu'elle prononce, ce qui peut présenter un réel intérêt pédagogique.
Néanmoins a été adopté en première lecture au Sénat malgré l'avis défavorable de votre rapporteur (avec l'avis favorable du Gouvernement) un amendement présenté par MM. Jean-Jacques Hyest, Patrice Gélard et les membres du groupe Union pour un mouvement populaire, tendant à restreindre cette possibilité aux cas de mauvaise foi du responsable du traitement, afin d'éviter de trop importantes incidences économiques pour les entreprises.
Votre rapporteur avait souligné l'inconvénient de priver la CNIL d'une possibilité d'action pédagogique, à l'efficacité démontrée, et s'était inquiété de la subjectivité de la notion de bonne foi. Il avait en outre indiqué que la CNIL pourrait toujours décider de ne pas rendre publiques les sanctions, en fonction des circonstances, et qu'il paraissait plus opportun de lui laisser son pouvoir d'appréciation.
L'Assemblée nationale est en deuxième lecture revenue sur ce dispositif et a rétabli la possibilité pour la CNIL de rendre publics les avertissements qu'elle prononce, tout en prévoyant qu'en cas de mauvaise foi du responsable du traitement, elle pourrait ordonner l'insertion des autres sanctions dans des publications, journaux et supports qu'elle désigne aux frais des personnes sanctionnées.
Votre commission se félicite de cette solution équilibrée.
Article 47 de la loi du 6 janvier
1978
Montant des sanctions
Les dispositions relatives au montant des sanctions ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 48 de la loi du 6 janvier
1978
Champ territorial des sanctions
Les dispositions relatives au champ territorial des sanctions ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 49 nouveau de la loi du 6 janvier
1978
Coopération internationale
Les dispositions relatives à la coopération internationale ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Votre commission des Lois vous propose d'adopter l'article 7 sans modification .
Article 8
(Chapitre VIII de la
loi n° 78-17 du 6 janvier 1978)
Sanctions pénales et
délit d'entrave à l'action de la CNIL -
Information de la CNIL
par le procureur de la République
Article 50 nouveau de la loi du 6 janvier
1978
Sanctions prévues par le code
pénal
Les dispositions relatives aux sanctions prévues par le code pénal ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Article 51 nouveau de la loi du 6 janvier
1978
Délit d'entrave
Cet article sanctionne le fait d'entraver l'action de la CNIL.
L'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de rectification d'une erreur matérielle, ce dont votre commission se félicite.
Article 52 nouveau de la loi du 6 janvier
1978
Information de la CNIL par les juridictions
Les dispositions relatives à l'information de la CNIL par les juridictions ont été adoptées dans les mêmes termes par le Sénat et l'Assemblée nationale.
Votre commission des Lois vous propose d'adopter l'article 8 sans modification .
Article 11
(Chapitre XI de la
loi n° 78-17 du 6 janvier 1978)
Traitements de données aux fins
de journalisme
et d'expression littéraire et artistique
Cet article concerne les traitements de données à caractère personnel aux fins de journalisme et d'expression littéraire et artistique, et vise à concilier liberté de la presse et d'expression et protection de la vie privée.
Le projet de loi prévoit des dérogations (à la limitation de durée de conservation, à l'interdiction de traiter des données dites sensibles ou relatives aux infractions, condamnations, aux obligations de déclaration et d'information, aux droits d'accès et de rectification, aux transmissions de données à des Etats tiers) pour les traitements de données à caractère personnel mis en oeuvre aux seules fins d'expression littéraire et artistique et d'exercice à titre professionnel de l'activité de journaliste.
La contrepartie de cette dérogation réside, conformément aux recommandations de la CNIL et de la directive, dans la création de « correspondants à la protection des données ».
En deuxième lecture, l'Assemblée nationale a, à l'initiative de son rapporteur et avec l'avis favorable du Gouvernement, adopté un amendement de coordination afin d'harmoniser les dispositions relatives à ces correspondants oeuvrant dans le domaine de la presse avec celles concernant ceux institués plus généralement.
Votre commission des Lois souscrit à ces modifications et vous propose d'adopter l'article 11 sans modification .