EXPOSÉ GÉNÉRAL
Mesdames, Messieurs,
Le Sénat est saisi, en nouvelle lecture, du projet de loi relatif à la protection des données personnelles.
Ce texte vise à adapter la loi « Informatique et libertés » 1 ( * ) au « paquet européen de protection des données personnelles » qui se compose :
- du règlement général sur la protection des données (le « RGPD ») 2 ( * ) , qui sera directement applicable à partir du 25 mai 2018 , et entend favoriser l'émergence d'un modèle européen harmonisé et ambitieux de protection des données à caractère personnel, tout en favorisant la compétitivité des entreprises européennes sur la scène internationale ;
- et d'une directive relative aux traitements mis en oeuvre en matière policière et judiciaire 3 ( * ) , qui doit être transposée avant le 6 mai 2018 .
Tout en approuvant les grandes orientations du projet de loi initial et la plupart des apports de l'Assemblée nationale, sauf exceptions ponctuelles, le Sénat s'était attaché, en première lecture, d'une part à mieux accompagner les petites structures dans la mise en oeuvre de leurs nouvelles obligations, d'autre part à renforcer la protection des droits et libertés des citoyens .
À ce titre, le Sénat avait d'abord tenu à répondre aux attentes et aux vives inquiétudes de nos TPE-PME et de nos collectivités territoriales. Leurs représentants ayant tous confirmé en audition qu'elles ne seraient absolument pas prêtes pour l'entrée en vigueur du règlement général sur la protection des données (RGPD) le 25 mai, c'est en pensant à elles, et pour mieux les accompagner, que le Sénat a voulu, à l'initiative ou avec l'accord de votre rapporteur :
- dégager de nouveaux moyens financiers pour la mise en conformité avec les règles européennes, en « fléchant » le produit des amendes et astreintes prononcées par la Commission nationale de l'informatique et des libertés (CNIL) à leur intention et en créant une dotation communale et intercommunale pour la protection des données personnelles ;
- faciliter la mutualisation des services numériques entre collectivités ;
- réduire l'aléa financier pesant sur ces dernières en supprimant la faculté pour la CNIL de leur imposer des amendes administratives et en reportant de deux ans l'entrée en vigueur de l'action de groupe en réparation en matière de données personnelles ;
- encourager la diffusion d'informations et l'édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités comme des TPE-PME.
Le Sénat avait également souhaité rééquilibrer certains éléments du dispositif pour renforcer la protection des droits et libertés des citoyens. Adoptant des propositions émanant de tous les groupes politiques et fidèle à son rôle traditionnel de chambre des libertés, le Sénat avait prévu :
- de rétablir l'obligation d' autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté , et de préciser les conditions d'extension de la liste des personnes autorisées à mettre en oeuvre ces traitements ;
- d' encourager le recours aux technologies de chiffrement de bout en bout des données personnelles pour assurer leur sécurité ;
- de conserver le droit général à la portabilité des données , personnelles comme non personnelles, pour permettre de faire véritablement jouer la concurrence entre services en ligne ;
- de s'assurer que les utilisateurs de terminaux électroniques aient le choix d'y installer des applications respectueuses de la vie privée ;
- d' encadrer plus strictement l'usage des algorithmes par l'administration pour prendre des décisions individuelles, et de renforcer les garanties de transparence en la matière, par exemple pour les inscriptions à l'université (« Parcoursup » ).
Examiné selon la procédure accélérée, ce projet de loi n'a fait l'objet que d'une seule lecture par l'Assemblée nationale puis par le Sénat avant la réunion d'une commission mixte paritaire.
Malgré deux rencontres préparatoires entre rapporteurs ayant permis, à l'issue de près de trois heures de discussions, de proposer un compromis global susceptible d'être accepté par le Sénat, au prix de concessions réciproques, votre rapporteur s'est heurtée au refus de toute concession de la part des députés du groupe majoritaire à l'Assemblée nationale.
La commission mixte paritaire réunie le vendredi 6 avril 2018 a constaté qu'elle ne pouvait élaborer un texte commun.
En dépit de quelques accords ponctuels sur des sujets techniques, l'Assemblée nationale a rétabli pour l'essentiel, lors de la nouvelle lecture, le texte qu'elle avait adopté en première lecture, sans tenir compte des apports du Sénat.
I. QUELQUES ACCORDS PONCTUELS SUR DES SUJETS TECHNIQUES
A. PLUSIEURS DISPOSITIONS TECHNIQUES OU DE BON SENS VOTÉES CONFORMES PAR LE SÉNAT DÈS LA PREMIÈRE LECTURE
Dès l'issue de la première lecture, six articles avaient été adoptés dans les mêmes termes par les deux assemblées grâce à un vote conforme du Sénat.
L' article 3 , relatif aux conditions de délibération de la formation restreinte de la CNIL chargée d'exercer son pouvoir de sanction , a pour objet de rehausser, au niveau législatif, certaines garanties d'impartialité exigées par la jurisprudence constitutionnelle.
L' article 8 fixe le champ d' application territoriale des règles françaises adaptant ou complétant le RGPD au titre des « marges de manoeuvre » laissées aux États membres, en privilégiant un critère de résidence .
L' article 10 rappelle, dans le champ d'application du RGPD, que les sous-traitants devront respecter les obligations imposées aux responsables de traitement.
L' article 13 bis prévoit une sensibilisation à la protection des données personnelles dans le cadre de l'Éducation nationale.
L' article 14 AA insère dans la loi « Informatique et libertés » un renvoi explicite aux conditions de recueil du consentement figurant désormais dans le RGPD.
L' article 15 permet de fixer, par un décret en Conseil d'État, la liste des traitements et des catégories de traitements autorisés à déroger à l' obligation de notifier certaines violations de leurs données personnelles aux personnes concernées, dans le cas où cette divulgation serait susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.
* 1 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
* 2 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
* 3 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.