Réunie le 14 mars 2018 pour examiner le projet de loi relatif à la protection des données personnelles, prévu pour l’application d’un règlement et d’une directive européennes du 27 avril 2016, la commission des lois du Sénat en a approuvé les grandes orientations, tout en s’attachant, d’une part, à renforcer la protection des droits et libertés des citoyens, d’autre part, à mieux accompagner les petites structures, TPE-PME et collectivités territoriales, dans la mise en œuvre de leurs nouvelles obligations.
Pour le président Philippe BAS (Les Républicains - Manche), "ce projet de loi d’apparence technique recèle des enjeux politiques considérables, pour l’ensemble de nos concitoyens dont il faut garantir le droit à la vie privée, comme pour nos petites entreprises, nos communes, nos intercommunalités qui pourraient se trouver exposées à des risques juridiques et financiers très importants".
Sur proposition de son rapporteur Sophie JOISSAINS (Union centriste - Bouches-du-Rhône), la commission des lois a ainsi décidé de maintenir à 16 ans, conformément au droit commun européen, l’âge minimal à partir duquel un mineur peut consentir au traitement de ses données personnelles.
Elle a veillé à encadrer strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, et elle a renforcé les garanties de transparence en la matière, par exemple pour les inscriptions à l’université.
La commission a rétabli l’autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté, précisé les conditions d’extension de la liste des personnes autorisées à mettre en œuvre ces fichiers, ainsi que le cadre juridique de la mise à disposition des décisions de justice (« open data ») afin de prévenir tout risque d’atteinte à la vie privée des personnes et à l’indépendance de la justice.
Suivant l’avis de son rapporteur, la commission a adopté un amendement de Claude RAYNAL (Socialiste - Haute-Garonne) visant à ce que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée.
Pour répondre aux fortes inquiétudes exprimées par les petites entreprises et les collectivités territoriales, dont chacun s’accorde à dire qu’elles ne seront pas prêtes pour appliquer le règlement général sur la protection des données (RGPD) dès le 25 mai 2018, la commission des lois s’est attachée :
- à dégager de nouveaux moyens financiers pour les aider à se mettre en conformité, en "fléchant" le produit des amendes et astreintes prononcées par la CNIL à leur intention, et en créant une dotation communale et intercommunale pour la protection des données personnelles ;
- à faciliter la mutualisation des services numériques entre collectivités territoriales ;
- à réduire l’aléa financier pesant sur ces dernières, en supprimant la faculté pour la CNIL de leur imposer des amendes administratives et en reportant de deux ans l’entrée en vigueur de l’action de groupe en réparation en matière de données personnelles ;
- à encourager la diffusion d’informations et l’édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités, comme des TPE-PME.
Enfin, Sophie JOISSAINS s’est émue de l’état d’impréparation du Gouvernement, qui, étant donné les très nombreuses incohérences qui subsistent entre le droit français et le droit européen, en est réduit à demander une habilitation à procéder par ordonnance aux ajustements nécessaires. "Le manque d’anticipation du Gouvernement est grave. Il témoigne d’une désinvolture totale vis-à-vis du Parlement et d’un mépris abyssal pour les collectivités, que nous ne pouvons accepter." Sur sa proposition, la commission des lois a donc supprimé cette habilitation, à charge pour le Gouvernement d’apporter les garanties nécessaires, en séance publique, pour que l’ordonnance ne procède qu’à des modifications à droit constant, sans remettre en cause les apports du travail parlementaire.
Mathilde DUBOURG
01 42 34 25 11 presse@senat.fr