4. Renforcer les pouvoirs effectifs de la CNIL
L'Assemblée nationale est ensuite revenue sur deux restrictions au pouvoir de sanction de la CNIL apportées par le Sénat malgré l'avis défavorable de votre commission des Lois .
Ainsi, elle a supprimé la limitation de la possibilité pour la CNIL de prononcer des sanctions pécuniaires aux seuls cas où des profits ou des avantages économiques auraient été tirés de la mise en oeuvre du traitement, tout en excluant l'Etat du champ de ces sanctions, la CNIL ne disposant pas de la personnalité morale (article 45 de la loi du 6 janvier 1978 modifié par l'article 7 du projet de loi).
Elle a de même revu les restrictions apportées à la possibilité pour la CNIL de rendre publiques les sanctions qu'elle prononce aux cas de mauvaise foi du responsable du traitement, afin de ne pas priver la CNIL d'une possibilité d'action pédagogique tout en proportionnant le degré de publicité en fonction de la gravité des manquements. Elle a ainsi rétabli la possibilité pour la CNIL de rendre publics les avertissements qu'elle prononce, tout en prévoyant qu'en cas de mauvaise foi du responsable du traitement, elle pourrait ordonner l'insertion des autres sanctions dans des publications (article 46 de la loi du 6 janvier 1978 modifié par l'article 7 du projet de loi).
5. Revoir les procédures applicables aux traitements publics
Enfin, l'Assemblée nationale a en deuxième lecture modifié les règles relatives aux traitements publics :
- en soumettant les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et portant sur des données biométriques nécessaires à l'authentification et au contrôle de l'identité des personnes à une autorisation par décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL, et non plus à une autorisation de la CNIL (article 27 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;
- en soumettant les traitements tendant à mettre à la disposition des usagers de l'administration un ou plusieurs téléservices et ayant recours au numéro d'inscription des personnes au répertoire national d'identification à un simple arrêté pris après avis motivé et publié de la CNIL, afin de faciliter le développement de l'administration électronique (article 27 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;
- en prévoyant, à l'initiative du Gouvernement et avec l'avis favorable du rapporteur, que le décret en Conseil d'Etat autorisant une dispense de publication de l'acte réglementaire autorisant les traitements intéressant la sûreté de l'Etat (en pratique les fichiers les plus sensibles de la DST et de la DGSE) pourrait également exempter ces traitements des pouvoirs de contrôle sur place et sur pièces reconnues aux membres et agents de la CNIL (accès aux locaux de 6 heures à 21 heures, demande de communication de tout document nécessaire pour l'accomplissement de leur mission). Il est à noter que cette dérogation exceptionnelle de contrôle a posteriori ne remettra en cause le contrôle préalable de la CNIL, ni l'exercice du droit d'accès indirect sur ce fichier (chapitre VI de la loi du 6 janvier 1978 modifié par l'article 6 du projet de loi) ;
- en mettant en cohérence les dispositions de l'article 24 de la loi du 18 mars 2003 pour la sécurité intérieure et celles figurant à l'article 68 nouveau du projet de loi, afin que les données contenues dans les traitements automatisés de données à caractère personnel gérés par les services de police et de gendarmerie nationales puissent être transmises à des organismes de coopération internationale en matière de police judiciaire ou à des services de police étrangers présentant un niveau de protection suffisant de la vie privée et des droits fondamentaux (article 15 sexies nouveau du projet de loi) ;
- en prévoyant une date de mise en conformité différée pour les traitements non automatisés de données à caractère personnel intéressant la sûreté de l'Etat, la défense et la sécurité publique au 24 octobre 2010 (et non plus 2007), s'agissant des dispositions des articles 6 à 9 modifiés de la loi du 6 janvier 1978 relatives à la qualité des données, à la légitimité des traitements, aux données sensibles et aux condamnations pénales (article 16 bis nouveau du projet de loi).