EXAMEN DES ARTICLES
TITRE IER - DISPOSITIONS D'ADAPTATION COMMUNES AU RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 ET À LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016
Le titre I er du projet de loi procède à la modification de certains articles de la loi « Informatique et libertés » pour les rendre compatibles avec le droit de l'Union européenne tel qu'il résulte de l'adoption du « paquet européen sur la protection des données personnelles ».
CHAPITRE IER - DISPOSITIONS RELATIVES À LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS
Article 1er (art. 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Missions et outils de la Commission nationale de l'informatique et des libertés
L'article 1 er du projet de loi vise à adapter les missions et les outils de la Commission nationale de l'informatique et des libertés (CNIL) aux évolutions du cadre juridique européen. Il remplace son rôle de contrôle administratif préalable par un rôle d'accompagnement de la conformité (« compliance ») tout au long du cycle de vie des données et privilégie le recours aux outils du « droit souple ».
En première lecture, le Sénat avait apporté plusieurs améliorations d'importance au texte afin de :
- prévoir un accompagnement par la CNIL des collectivités territoriales et de leurs groupements (diffusion d'informations et édiction de normes de droit souple adaptées à leurs besoins et à leurs moyens) ;
- prévoir une prise en compte spécifique par la CNIL de la situation des personnes dépourvues de compétences numériques (« illectronisme » ou illettrisme numérique) ;
- mettre en place une certification facultative des objets connectés pour assurer au consommateur qu'ils respectent les normes en vigueur en matière de vie privée et de sécurité informatique ;
- rendre obligatoire l'établissement d'une liste pour certains types de traitements susceptibles de créer un risque élevé et devant faire l'objet d'une consultation préalable obligatoire de la CNIL ;
- réserver la possibilité d'une saisine parlementaire de la CNIL pour avis sur les propositions de loi aux seuls présidents des assemblées parlementaires, tout en étendant le champ de ces saisine à toute disposition d'une proposition de loi relative à la protection des données personnelles (et non seulement à toute proposition de loi relative à la protection des données personnelles).
Suivant la proposition de son rapporteur, votre commission a souhaité rétablir les trois derniers ajouts, qui n'ont pas été acceptés par l'Assemblée nationale en nouvelle lecture.
Concernant d'abord les objets connectés , elle a estimé que la certification facultative correspondait tout à fait à l'esprit du RGPD, qui confie un rôle de signal à cet outil de droit souple, et permettrait de rassurer le consommateur en orientant son choix vers des fabricants respectueux de leur vie privée. Alors que ces objets entrent peu à peu dans notre quotidien, dans nos maisons (thermostat connecté, éclairage connecté, mais aussi caméras connectées et baby-phones), dans nos pratiques de loisirs (drones, montres), voire dans le domaine de la santé, notre collègue Catherine Morin-Desailly, auteure d'une proposition de résolution sur ce sujet, a très justement rappelé en séance les défis de ces nouveaux produits pour la vie privée mais aussi pour la sécurité de nos concitoyens. Votre commission a en conséquence adopté l'amendement COM-5 de son rapporteur visant à doter la CNIL d'une mission de labellisation des objets connectés .
Votre commission a également adopté l'amendement COM-6 de son rapporteur pour prévoir l'établissement obligatoire par la CNIL d'une liste des traitements entrant dans le champ de la directive et susceptibles de créer un risque élevé pour les droits et les libertés des personnes concernées (ces traitements devant alors faire l'objet d'une consultation préalable obligatoire de l'autorité). Si l'article 28, paragraphe 3, de la directive 4 ( * ) se contente certes de ne prévoir que la possibilité d'établir une telle liste, le maintien d'un haut niveau de protection de la vie privée milite pour rendre cette liste obligatoire. En tout état de cause, il semble évident au vu les enjeux de libertés publiques que la CNIL voudra se saisir de cette possibilité et que la rédaction proposée, plus énergique, incitera plus sûrement l'autorité à établir une telle liste.
Enfin, votre commission a souhaité r evenir à son texte concernant la consultation de la CNIL sur certaines propositions de loi .
D'une part, il lui a semblé qu'une saisine directe de la CNIL par d'autres personnalités que les présidents des assemblées romprait trop avec les mécanismes classiques qui régissent les relations institutionnelles entre le Parlement et les autorités administratives indépendantes (à cet égard, la CNIL elle-même s'est montrée inquiète du risque que poserait à ses capacités de réponse un trop grand élargissement des autorités habilitées à la saisir) ; votre rapporteur estime au demeurant que la CNIL, comme toute autorité administrative indépendante, peut déjà répondre aux diverses sollicitations, voire donner spontanément son avis au Parlement sur un texte, sans qu'il soit besoin pour cela d'en formaliser la procédure ; votre commission a donc adopté en ce sens l'amendement COM-7 de son rapporteur.
D'autre part, votre commission a également adopté l'amendement COM-8 de son rapporteur pour rétablir, par souplesse et par parallélisme avec les dispositions régissant la consultation de la CNIL sur les projets de loi, la possibilité d'une consultation sur certaines dispositions seulement d'une proposition de loi.
Votre commission a adopté l'article 1 er ainsi modifié .
Article 2 (art. 13 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Compétences des personnalités qualifiées nommées par les présidents de l'Assemblée nationale et du Sénat
L'article 2 du projet de loi vise à uniformiser les compétences requises en matière de numérique ou de protection des libertés individuelles de certaines personnalités qualifiées nommées au sein du collège de la CNIL.
Après plusieurs hésitations, en première lecture, sur le caractère alternatif ou cumulatif qu'elle souhaitait donner à ces compétences, l'Assemblée nationale, en nouvelle lecture et sur proposition de sa rapporteure, a finalement adopté une disposition visant à rendre cumulatives les compétences exigées des cinq personnalités qualifiées membres de la CNIL.
Votre commission a adopté l'article 2 sans modification.
Article 2 bis (art. 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Délégation de certaines missions et publicité de l'ordre du jour des réunions plénières de la CNIL
L'article 2 bis du projet de loi a pour objet de permettre certaines souplesses organisationnelles (possibilité de délégations de certaines attributions entre organes de la CNIL et de délégation de signature).
Votre commission a adopté un amendement COM-9 de son rapporteur pour supprimer à nouveau la mention, rétablie en nouvelle lecture par l'Assemblée nationale à l'initiative de sa rapporteure, prévoyant de rendre public l'ordre du jour des réunions plénières.
Si louable soit-elle, cette exigence de transparence est manifestement de nature réglementaire. Elle aurait dès lors mieux sa place soit dans le décret relatif au fonctionnement de la CNIL, soit dans le règlement intérieur de l'autorité, et pourrait d'ailleurs être aisément satisfaite par un simple changement des pratiques.
Votre rapporteur regrette à cette occasion que l'Assemblée nationale ne procède à l'évidence pas, comme c'est le cas au Sénat, à un contrôle minimal de la recevabilité des amendements au regard de l'article 41 de la Constitution.
Votre commission a adopté l'article 2 bis ainsi modifié.
Article 5 (art. 49 et art. 49-1 à 49-5 [nouveaux] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Procédure de coopération entre la CNIL et d'autres autorités de contrôle de l'Union européenne
L'article 5 du projet de loi précise les modalités de coopération entre la CNIL et les autres autorités de l'Union européenne lors de procédures de contrôle, soit lorsque la CNIL est « chef de file » d'un contrôle associant d'autres autorités, soit en tant qu'« autorité concernée » associée aux contrôles menés par une autre autorité.
En première lecture, afin de permettre une meilleure « agilité » dans les modalités concrètes de fonctionnement de la CNIL, le Sénat avait souhaité lui donner certaines souplesses d'organisation (faculté de délégation de la formation plénière au bureau) pour participer avec la réactivité requise aux nouveaux mécanismes complexes de coopération entre autorités européennes.
En nouvelle lecture, l'Assemblée nationale a adopté cet article, sous réserve d'une précision.
Votre commission a adopté l'article 5 sans modification.
Article 6 (art. 45, 46, 47 et 48 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; art. 226-16 du code pénal) - Mesures correctrices et sanctions
L'article 6 du projet de loi réécrit les principaux articles de la loi « Informatique et libertés » relatifs aux pouvoirs de sanction de la CNIL et complète les sanctions déjà existantes afin de permettre à l'autorité de prendre l'ensemble des mesures correctrices prévues par le règlement (UE) 2016/679 ou par la directive (UE) 2016/680.
En première lecture, le Sénat avait d'abord entendu améliorer la pédagogie et la lisibilité de l'enchaînement des différentes procédures. Il avait également souhaité réduire l'aléa financier pesant sur les collectivités territoriales et leurs groupements en supprimant, comme pour l'État, la faculté pour la CNIL de leur imposer des amendes et astreintes administratives.
Sourde aux arguments du Sénat (au point d'en faire un point bloquant lors de la commission mixte paritaire), l'Assemblée nationale a rétabli, en nouvelle lecture, la possibilité de sanctions pécuniaires (s'élevant jusqu'à 20 millions d'euros) et d'astreintes (100 000 euros par jour) à l'encontre des collectivités territoriales et de leurs groupements.
Votre commission a adopté un amendement COM-10 de son rapporteur rétablissant le texte du Sénat sur ce point essentiel à ses yeux.
Votre rapporteur insiste sur le fait qu' il ne s'agit en rien d'exempter les collectivités territoriales et leurs groupements du respect du RGPD . Toutes les obligations du règlement leur seront applicables le 25 mai 2018, et tous les droits reconnus aux particuliers concernés par des traitements de données pourront naturellement s'exercer auprès d'eux.
La CNIL conserve naturellement à leur encontre toute la panoplie de ses mesures correctrices, dont l'inobservation peut constituer une infraction pénale. Les collectivités territoriales et leurs groupements demeurent aussi évidemment soumis au respect du principe de légalité, de sorte que tout manquement aux règles du RGPD ou de la loi « Informatique et libertés » peut être annulé par le juge et engager leur responsabilité.
Il semble indispensable à votre rapporteur de reconnaître pleinement la spécificité des collectivités territoriales, qui :
- à la différence des acteurs privés, sont responsables de nombreux traitement sur lesquels elles n'ont aucune prise, car ils découlent d'obligations légales ou de compétences transférées (fichier d'état civil, fichier des cantines scolaires, fichiers d'aide sociale, listes électorales, fiscalité locale, cadastre...) ;
- au même titre que l'État, exonéré d'amendes et d'astreinte par le texte, possèdent des prérogatives de puissance publique et exercent les missions de service public dont elles sont comme lui investies ;
- et disposent de budgets alimentés par le contribuable et souvent modestes pour la grande majorité d'entre elles (de sorte qu'en cas d'amende ou d'astreinte, c'est le public qui taxe le public et l'État qui ponctionne le contribuable local).
Votre rapporteur souligne enfin qu'une telle possibilité est expressément prévue par le RGPD dont l'article 83, paragraphe 7, dispose que « chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire ». Cette mesure de bon sens, unanimement adoptée au Sénat, a été soutenue par toutes les grandes associations d'élus et le Gouvernement lui-même n'a pas souhaité revenir sur cette avancée en séance.
Enfin, comme en première lecture, votre commission a adopté un amendement COM-11 de son rapporteur prévoyant que le produit des sanctions pécuniaires et des astreintes prononcées par la CNIL serve à financer des actions destinées aux responsables de traitement publics et privés, afin de les aider à se conformer à la nouvelle réglementation. Il s'agit toujours de poser un principe vertueux selon lequel « l'argent de la protection des données va à la protection des données ».
Votre commission a adopté l'article 6 ainsi modifié.
Article 6 bis - Charte de déontologie pour les délégués à la protection des données des administrations publiques
Introduit en première lecture en séance publique au Sénat, à l'initiative de notre collègue Alain Marc (groupe Les Indépendants - République et Territoires), l'article 6 bis du projet de loi prévoyait que le président de la CNIL établisse, après avis de ses membres, une charte énonçant les principes déontologiques et les bonnes pratiques propres a` l'exercice des fonctions de délégué à la protection des données dans les administrations publiques.
Il a été supprimé par l'Assemblée nationale en nouvelle lecture à l'initiative de sa rapporteure, au motif que la CNIL pourrait déjà établir des codes de conduite ou des guides de bonnes pratiques reprenant les orientations définies par le G29.
L'utilité des dispositions adoptées par le Sénat consistant précisément à prévoir que l'édiction d'une telle charte soit obligatoire pour la CNIL, et non facultative, votre commission a adopté un amendement COM-12 de son rapporteur tendant à les rétablir, au bénéfice de quelques ajustements de nature rédactionnelle.
Votre commission a rétabli l'article 6 bis ainsi rédigé.
* 4 « Les États membres prévoient que l'autorité de contrôle peut établir une liste des opérations de traitement devant faire l'objet d'une consultation préalable ».