AMENDEMENTS NON ADOPTÉS PAR LA COMMISSION
Article 1 er
Amendement n° COM-27 présenté par
M. PATRIAT et les membres du groupe La République En Marche
Alinéa 4
Après les mots :
et peut, à cette fin, apporter une information personnalisée aux
Insérer les mots :
collectivités territoriales
Alinéa 9
A la deuxième phrase
Après les mots :
et des besoins spécifiques des
Insérer les mots :
collectivités territoriales
Alinéa 13
A la deuxième phrase
Après les mots :
à cette fin, les besoins spécifiques des
Insérer les mots :
collectivités territoriales
Objet
Cet amendement vise à améliorer l'information dont disposent les collectivités territoriales sur les obligations qui sont les leurs en matière de protection des données personnelles.
Les difficultés rencontrées par les élus locaux dans leur mise en conformité obligatoire avec les exigences nouvelles du RGPD ont été manifestement évacuées lors de la discussion du texte à l'Assemblée nationale.
En vertu d'une logique de contrôle ex ante base'e sur des formalités administratives auprès de la CNIL, à laquelle se substitue désormais une logique dite de "responsabilisation" ex post des acteurs privés et publics, les élus locaux se retrouvent en première ligne et sous la menace immédiate de conséquences pénales et de risques administratifs non négligeables en cas de non-conformité au règlement.
Le groupe LREM se propose d'ouvrir le débat sur les conséquences directes du RGPD pour nos territoires avant son entrée en application le 25 mai 2018.
Amendement n° COM-23 présenté par
M. RAYNAL
Alinéa 11
Après le mot:
techniques
insérer le mot :
relatives aux finalités
Objet
Les finalités déclarées pour l'utilisation des systèmes biométriques passent sous silence l'existence d'une fonction latente à la biométrie : la localisation des personnes physiques. En effet, le développement des systèmes biométriques est intimement lié à la volonté du responsable du traitement non pas de simplement authentifier un document ou identifier une personne, mais bien de localiser cette dernière.
Or cette finalité latente n'est jamais prévue par le droit, alors même qu'elle est recherchée. Ainsi, en rendant obligatoire la présentation de l'ensemble des finalités et en permettant à la CNIL de prescrire des mesures complémentaires concernant ces données, cet amendement a vocation à renforcer les droits fondamentaux des personnes ainsi que le respect du principe de finalité.
Tel est l'objet du présent amendement.
Amendement n° COM-15 présenté par
M. RAYNAL
Alinéa 19
Après la dernière phrase
Insérer une phrase ainsi rédigée :
Par tout parlementaire, à tout moment de la conception d'une proposition de loi.
Objet
L'ouverture de la compétence de la CNIL doit aussi concerner les propositions de loi, non pas uniquement celles déjà déposées, mais aussi celles en train d'être écrites. Cette extension a pour fonction de permettre aux parlementaires de bénéficier de l'expertise de la CNIL.
Tel est l'objet du présent amendement.
Article 2
Amendement n° COM-16 présenté par
M. RAYNAL
Alinéa 3
Supprimer le mot :
individuelles
Objet
Dans une définition restreinte, la liberté individuelle est prévue à l'article 66 de la Constitution qui en confie le monopole de la protection au juge judiciaire. Ainsi, la protection est alors restreinte à un certain type de liberté.
Même dans une acception large, qui inclurait d'autres libertés, notamment personnelles, cette formulation ne peut trouver à s'appliquer aux libertés collectives.
Partant, la suppression du mot "individuelles" entraînera une protection accrue des libertés.
Tel est l'objet du présent amendement.
Amendement n° COM-13 présenté par
MM. Henri LEROY, PACCAUD et DALLIER, Mme EUSTACHE-BRINIO et MM. CHAIZE, LEFÈVRE, GROSDIDIER, MEURANT, DANESI et VASPART
Compléter cet article par un paragraphe ainsi rédigé :
... - Le premier alinéa du II de l'article 13 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi rédigé :
« Le mandat des membres de la commission est de cinq ans ; il n'est pas renouvelable. »
Objet
Cet amendement a pour objet d'offrir la plus grande indépendance qui soit à la CNIL.
En effet, les membres des principales autorités administratives indépendantes ne peuvent être renouvelés dans leur fonction à l'issue de leur mandat. Ainsi en est-il du Conseil supérieur de l'audiovisuel ou encore de l'Autorité des marchés financiers.
Le caractère non-renouvelable constitue la garantie que le comportement des membres de la CNIL ne sera jamais commandé par une volonté de leur part d'être renouvelé dans leur fonction.
Article 7
Amendement n° COM-25 présenté par
M. PATRIAT et les membres du groupe La République En Marche
Alinéa 3
Rédiger ainsi cet alinéa :
« I. - Il est interdit de traiter des données à caractère personnel qui révèlent l'origine prétendument raciale ou ethnique, les opinions politiques, les pratiques et croyances qu'un individu exerce ou manifeste dans le cadre de sa foi spirituelle, les convictions philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques tendant à désanonymiser une personne physique, des données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne physique. »
Objet
Cet amendement apporte des corrections rédactionnelles à la présente codification des dispositions relatives à certaines catégories de données. Il s'agit principalement de tenir compte de la jurisprudence de la Cour européenne des Droits de l'Homme en faisant la distinction entre la conviction religieuse d'une part, et, sa manifestation, d'autre part.
Par ailleurs, l'introduction du terme "désanonymiser" nous apparait pas totalement infondée au regard de l'objectif constitutionnel d'intelligibilité de la loi.
Amendement n° COM-18 présenté par
M. RAYNAL
Alinéa 3
Supprimer les mots:
de manière unique
Objet
L'identification biométrique se basant sur une correspondance statistique entre deux mesures corporelles, elle ne peut identifier de manière unique un individu. Même les systèmes biométriques les plus performants,s'ils peuvent discriminer deux personnes, ne peuvent de manière unique identifier un individu, puisque par nature, il ne s'agit là que d'une probabilité et non d'une certitude.
Cette transformation des hypothèses scientifiques (les statistiques), en une vérité juridique (le caractère unique de l'identité biométrique) peut entraîner des problèmes pour les personnes, notamment des identifications erronées, ou des rejets d'identification.
L'objet de cet amendement est alors de préciser, par la suppression de l'expression de "manière unique" de mettre en adéquation les qualifications juridiques avec l'état des connaissances en ce qui concerne les sciences et les techniques.
Amendement n° COM-19 présenté par
M. RAYNAL
Alinéa 9
Compléter cet alinéa par les mots :
le responsable du traitement de données biométriques doit garantir le caractère subsidiaire de ce dernier en mettant à disposition de l'agent ou de l'usager un dispositif non biométrique remplissant la même finalité
Objet
Quelque soit le système biométrique utilisé, il existe un pourcentage même minime de personnes dont les données biométriques ne peuvent être enregistrées. Ce taux d'impossibilité d'enrôlement est fonction soit de la nature des données capturées, soit des accidents de la vie des personnes (doigts coupés, brûlés ou mal formés).
L'objet de cet amendement est de permettre à ces personnes d'accéder aux même services que les personnes enrôlées dans les systèmes biométriques.
Article 13
Amendement n° COM-1 présenté par
MM. DARNAUD et GENEST
Alinéa 31
Compléter cet alinéa en insérant la phrase suivante ainsi rédigée:
« Pour l'exercice de ce droit, les titulaires précédemment cités doivent justifier de leur identité et de leur autorité parentale, de leur mission de représentation dans le cadre d'une tutelle, de leur habilitation familiale ou d'un mandat de protection future, ainsi que de leur identité. »
Objet
Cet amendement précise les conditions selon lesquelles les titulaires de l'autorité parentale et personnes assimilées sont destinataires des informations.
Il vise à mieux concilier la protection des données personnelles et l'exploitation des données disponibles afin d'améliorer les réponses à apporter aux personnes bénéficiaires des politiques sociales ou de santé.
Amendement n° COM-26 présenté par
M. PATRIAT et les membres du groupe La République En Marche
Alinéa 40
Première phrase
Après les mots :
le consentement éclairé
Insérer les mots :
, libre, spécifique, univoque
Alinéa 43
Première phrase
Après les mots :
le consentement éclairé
Insérer les mots :
, libre, spécifique, univoque
Objet
Déjà listées au sein de la Directive 95/46/CE, le Règlement européen 2016/679 sur la protection des données personnelles définit et entérine les conditions légales du consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Par ailleurs, les qualificatifs libre et éclairé sont repris dans tous les attendus de jugement ayant trait aux problèmes de consentement.
Cette précision rédactionnelle mérite par conséquent d'être intégrée au texte compte tenu de la sécurisation juridique qu'elle apporte.
Article 14
Amendement n° COM-20 présenté par
M. RAYNAL
Alinéa 10
Ajouter :
Il tient à la disposition de l'usager le cahier des charges complet et le code source commenté de l'algorithme.
Objet
Face au développement des algorithmes, il est important de permettre aux citoyens de connaître tant les impératifs qui ont conduit à son développement que les explications de son mode de fonctionnement. Partant, cet amendement se propose d'inscrire dans la loi un principe de transparence en matière d'algorithme en rendant obligatoire la transmission, sur demande, tant du cahier des charges que du code source avec ses commentaires.
Tel est l'objet du présent amendement
Article 15
Amendement n° COM-2 présenté par
MM. DARNAUD et GENEST
Après l'alinéa 2
Insérer un nouvel alinéa ainsi rédigé :
IV. La documentation concernant la notification de violation de données à caractère personnel n'est pas considérée comme un document administratif au sens du Code des relations entre le public et l'Administration, elle n'est donc pas communicable sur la base des articles L 311 et suivants du Code de la Relation entre le Public et l'Administration.
Objet
Cet amendement précise les dispositions relatives à la limitation du droit à la communication d'une violation de données à caractère personnel auprès d'un usager, ou d'une autre institution voir d'une personne mal attentionnée.
Division additionnelle avant l'article 16 A (nouveau)
Amendement n° COM-3 présenté par
MM. DARNAUD et GENEST
Avant l'article 16 A (nouveau)
Insérer une division additionnelle ainsi rédigée :
Pour toute action engagée sur la base de l'article 43 ter de la loi n°78-17 du 6 janvier 1978, il sera possible de passer par une médiation. La médiation régie par le présent article s'entend de tout processus structuré, quelle qu'en soit la dénomination, par lequel deux ou plusieurs parties tentent de parvenir à un accord en vue de la résolution amiable de leurs différends, avec l'aide d'un tiers, le médiateur, choisi par elles ou désigné, avec leur accord, par la juridiction.
Une liste des médiateurs est établie par un décret en Conseil d'état.
Le médiateur accomplit sa mission avec impartialité, compétence et diligence.
Sauf accord contraire des parties, la médiation est soumise au principe de confidentialité. Les constatations du médiateur et les déclarations recueillies au cours de la médiation ne peuvent être divulguées aux tiers ni invoquées ou produites dans le cadre d'une instance juridictionnelle ou arbitrale sans l'accord des parties.
Les délais de recours contentieux sont interrompus et les prescriptions sont suspendues à compter du jour où, après la survenance d'un différend, les parties conviennent de recourir à la médiation ou, à défaut d'écrit, à compter du jour de la première réunion de médiation.
Ils recommencent à courir à compter de la date à laquelle soit l'une des parties ou les deux, soit le médiateur déclarent que la médiation est terminée. Les délais de prescription recommencent à courir pour une durée qui ne peut être inférieure à six mois.
Le médiateur informe la juridiction concernée du fait que les parties aient trouvé ou non un accord amiable.
Objet
Cet amendement propose la mise en place d'une médiation présentant plusieurs avantages :
- Alléger la tâche de travail de la CNIL
- Conduire des actions de pédagogie auprès des services non suffisamment informés de la législation existante
- Mettre des garde-fous aux actions de groupe visant à désorganiser les services et à encourager systématiquement les usagers à faire des demandes en masse en vue de demande de dommages et intérêts.
Article 19
Amendement n° COM-5 présenté par
MM. DARNAUD et GENEST
Alinéa 16
Insérer deux nouveaux alinéas ainsi rédigés:
La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président.
Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'avis est réputée acceptée.
Objet
Cet amendement prévoit les délais de réponse de la CNIL lorsque le responsable du traitement ou son sous-traitant a sollicité son avis.
Amendement n° COM-6 présenté par
MM. DARNAUD et GENEST
Alinéa 41
Rédiger ainsi le début de cet alinéa :
« Sans préjudice des obligations nationales existantes liées à la sécurité des traitements et, ..... »
Le reste sans changement
Objet
Le responsable du traitement des données doit mettre en oeuvre toutes les mesures appropriées, y compris celles qui existent déjà, afin de garantir la sécurité des données.
Amendement n° COM-7 présenté par
MM. DARNAUD et GENEST
Après l'alinéa 63
Insérer deux paragraphes nouveaux ainsi rédigés :
II - La désignation d'un Délégué à la protection des données est, préalablement à sa notification à la Commission nationale de l'informatique et des libertés, portée à la connaissance de l'instance représentative du personnel compétente par le responsable des traitements, par lettre remise contre signature.
La décision de désignation du Délégué à la Protection des données ainsi que les informations nécessaires permettant de se mettre en rapport avec lui sont portées à la connaissance des personnes concernées par tout moyen.
Pour les administrations, cette désignation fait l'objet d'une publication, selon le cas, dans un des bulletins, recueils ou registres mentionnés aux articles R. 312-3 à R. 312-6 du code des relations entre le public et l'administration.
III - Dans les trois mois de sa désignation, le Délégué à la protection des données effectue le recensement des traitements dans le registre prévu à l'article 30 du règlement (UE) 2016/679.
Il établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la commission
IV - Lorsque le délégué à la protection des données est démissionnaire ou déchargé de ses fonctions, le responsable des traitements en informe la Commission nationale de l'informatique et des libertés par lettre remise contre signature ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie
La notification de cette décision mentionne en outre le motif de la démission ou de la décharge. Il y est annexé, le justificatif de la notification de la décision au Délégué à la protection des données.
Cette décision prend effet huit jours après sa date de réception par la Commission nationale de l'informatique et des libertés.
Le remplacement du Délégué à la Protection des données doit se faire dans un délai d'un mois par le responsable des traitements.
Objet
La loi doit préciser la désignation, la fonction et les missions du Délégué à la protection des données, ainsi que les modalités de fin de mission de celui-ci.
Amendement n° COM-10 présenté par
MM. DARNAUD et GENEST
Alinéa 114
Compléter cet alinéa par la phrase suivante ainsi rédigée :
« En tout état de cause, ces frais devront respecter les montants définis par l'arrêté du 1er octobre 2001 relatif aux conditions de fixation et de détermination du montant des frais de copie d'un document administratif. »
Objet
Amendement de clarification
Article 20
Amendement n° COM-22 présenté par
M. RAYNAL
Alinéa 2
Insérer
2° pour garantir un niveau de protection des droits fondamentaux équivalents aux plus hauts standards des pays membres de l'UE.
Objet
L'autorisation donnée au Gouvernement de prendre des ordonnances dans le domaine de la loi ne peut se faire sans intégrer dans l'habilitation une obligation de protection des droits fondamentaux. Cette protection des droits fondamentaux qui découle directement du domaine de la loi prévu à l'article 34 de la Constitution doit être d'un niveau équivalent au meilleur système de protection.
Cette volonté de protéger les droits fondamentaux a justifié en 1978 l'adoption de la loi informatique et libertés face au scandale SAFARI et il serait dommageable que cet aspect historique disparaisse dans cette refonte.
Tel est l'objet du présent amendement.