CHAPITRE IER - CHAMP D'APPLICATION TERRITORIAL DES DISPOSITIONS COMPLÉTANT LE RÈGLEMENT (UE) 2016/679
CHAPITRE II - DISPOSITIONS RELATIVES À LA SIMPLIFICATION DES FORMALITÉS PRÉALABLES À LA MISE EN oeUVRE DES TRAITEMENTS
Article 9 (art. 22, 23, 24, 25 et 27 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; art. 226-16-1-A du code pénal) - Suppression des régimes de formalités administratives préalables, sauf exceptions
L'article 9 du projet de loi supprime les principaux régimes de formalités préalables obligatoires (déclaration du traitement, autorisation par la CNIL ou autorisation par décret en Conseil d'État après avis de la CNIL), remplacés par le mécanisme directement prévu par le RGPD en cas de risque pour la vie privée (analyse d'impact, consultation de l'autorité de régulation, possibilité d'objections et de sanctions).
Assemblée national et Sénat n'y ont apporté successivement que des modifications de nature rédactionnelle.
Votre commission a adopté l'article 9 sans modification .
CHAPITRE III - OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENT ET À LEURS SOUS-TRAITANTS
Article 10 bis (art. 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Incitation au chiffrement pour remplir l'obligation de sécurité à laquelle sont tenus les responsables de traitement de données personnelles
L'article 10 bis est issu de l'adoption, en séance publique au Sénat, d'un amendement de notre collègue Marie-Thérèse Brugière (Les Républicains). Il tend à préciser la portée de l'obligation de sécurité à laquelle sont soumis les responsables de traitement (en application de l'article 34 de la loi « Informatique et libertés » et de l'article 32 du RGPD 5 ( * ) ) en incitant « chaque fois que cela est possible » au chiffrement « de bout en bout » des données personnelles.
En nouvelle lecture, la rapporteure de l'Assemblée nationale a donné un avis favorable à l'adoption d'un amendement du Gouvernement qui a supprimé cet article.
Votre rapporteur regrette la position fermée de l'Assemblée nationale sur un sujet aussi important que le recours aux outils cryptographiques pour protéger les libertés fondamentales de nos concitoyens.
Elle rappelle la position de la CNIL sur ce sujet, fermement exprimée lors de la remise de son précédent rapport annuel, et aux termes de laquelle : « Dans un contexte de numérisation croissante de nos sociétés et d'accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité. Il contribue aussi à la robustesse de notre économie numérique et de ses particules élémentaires que sont les données à caractère personnel, dont la protection est garantie par l'article 8 de la Charte des droits fondamentaux de l'Union européenne ».
Le Conseil national du numérique, dans son avis de septembre 2017 (« prédictions, chiffrement et libertés »), a pris une position similaire, rappelant que « le chiffrement est un outil vital pour la sécurité en ligne ; en conséquence, il doit être diffusé massivement auprès des citoyens, des acteurs économiques et des administrations ».
Votre rapporteur a dès lors proposé à votre commission, qui l'a adopté, un amendement COM-13 destiné à rétablir cet article dans la rédaction du Sénat, au bénéfice de certaines précisions rédactionnelles.
Votre commission a rétabli l'article 10 bis ainsi rédigé .
* 5 L'article 32 du règlement général sur la protection des données prévoit, en matière de sécurité des traitements, que « compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». La pseudonymisation et le chiffrement des données à caractère personnel figurent expressément parmi les techniques citées par cet article.