Interventions sur "CNIL"

...ujourd’hui, elle nous soumet une version encore améliorée, qui va permettre de rendre la gradation des sanctions, de la mise en demeure à la sanction en tant que telle, beaucoup plus compréhensible. Mme la ministre a évoqué tout à l’heure le fait que la loi devait faire œuvre de pédagogie et de clarté. C’est très important, mais encore faut-il que l’autorité administrative indépendante qu’est la CNIL garde une capacité d’appréciation de la sanction qu’elle souhaite prononcer eu égard à la gravité de ce qu’elle découvre. Or, parfois, la mise en demeure n’est pas la solution la plus adaptée, notamment lorsque les faits sont avérés et relèvent du passé. Je retire mon amendement n° 52 au profit de l’amendement de la commission, qui me paraît plus satisfaisant.

...’argumentation de Mme la ministre. Je me permets néanmoins de rappeler que le Conseil supérieur de l’audiovisuel, le CSA, figure parmi les autorités administratives indépendantes, qu’il dispose d’une autonomie de gestion et qu’il est susceptible de recevoir des ressources propres. Cet amendement ne va peut-être pas jusqu’au bout de l’évolution de statut qu’il serait judicieux d’envisager pour la CNIL. Si celle-ci était en mesure de se voir affecter des ressources propres, au même titre que le CSA, la proposition formulée serait envisageable.

Cet amendement vise uniquement à harmoniser le niveau des amendes. L’article 83 du RGPD punit d’une amende pouvant s’élever jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial, le non-respect des pouvoirs d’enquête de l’autorité de contrôle, c’est-à-dire de la CNIL. L’article 6 que nous examinons tend à harmoniser les sanctions financières prévues à l’article 45 de la loi Informatique et libertés, en fixant leur montant maximal aux mêmes seuils, à savoir 20 millions d’euros et 4 % du chiffre d’affaires. Or il apparaît qu’une autre amende est prévue à l’article 51 de la loi de 1978, en cas d’entrave à l’action de la CNIL, et que son montant n’a pas été actu...

La commission demande le retrait du présent amendement, qui tend à punir le fait d’entraver l’action de la CNIL d’un an d’emprisonnement et d’une amende ne pouvant excéder 20 millions d’euros ou, s’agissant d’une entreprise, de 4 % du chiffre d’affaires annuel mondial. La rédaction choisie crée une sorte de confusion entre les amendes pénales et les sanctions administratives.

Nous demandons également le retrait de cet amendement, car la même confusion est créée entre sanctions administratives et pénales. Les sanctions administratives que la CNIL pourra imposer doivent être bien distinguées des sanctions prononcées par les juridictions pénales. Le RGPD renvoie au droit des États membres sur ce point et, à ce titre, le code pénal réprime déjà plusieurs infractions sanctionnant la méconnaissance de la loi Informatique et libertés. L’échelle des peines et l’architecture globale des sanctions pénales mériteraient sûrement d’être actualisées,...

Le RGPD renforce la coopération européenne en matière de protection des données personnelles. Il instaure un système d’action cohérente et d’assistance mutuelle entre les différentes autorités compétentes. Dans ce cadre, la CNIL pourra être amenée à réaliser des opérations conjointes avec les autorités de contrôle des autres États membres. Lorsqu’une opération de contrôle conjointe se déroule sur le territoire français, les membres et agents de la CNIL sont présents aux côtés des membres et agents des autres autorités de contrôle participant à l’opération. Le droit national s’impose. Il ressort en effet de la négociatio...

...sées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions. Du fait de ces attributions sensibles, il semble cohérent que le mouvement déontologique à l’œuvre dans l’ensemble de la sphère publique s’applique également à la fonction de DPO. La particularité de son office plaide également pour des dispositions déontologiques spécifiques, que la CNIL serait le plus à même d’identifier. Un tel document, associé aux chartes existant déjà dans le secteur privé, pourrait en outre contribuer à mieux définir les bonnes pratiques pour l’ensemble des DPO.

...ns pénales, d’enquêtes, de poursuites ou d’exécution des sanctions pénales. Elle doit être transposée avant le 6 mai 2018. Le projet de loi qu’il nous revient d’examiner a donc pour but d’adapter la loi de 1978 – choix très symbolique – au règlement général, de tirer parti des marges de manœuvre nationales qu’il autorise et de transposer la directive sectorielle. À cette fin, les missions de la CNIL sont élargies et ses pouvoirs renforcés. Le traitement des données dites sensibles reste très encadré et des régimes spécifiques plus protecteurs conservant des formalités préalables restent prévus pour certains traitements, notamment ceux qui visent le numéro de sécurité sociale, des données biométriques ou génétiques, des condamnations pénales, des archives ou des données de santé. L’Assemblé...

...et d’un suivi attentif de la commission des affaires européennes. J’ai notamment déposé et rapporté, en son nom et au nom de la commission des lois, deux propositions de résolution européenne et produit un avis motivé. Les résolutions du Sénat demandaient que des dispositions nationales plus protectrices puissent être conservées et que toute personne résidant en France soit en droit de saisir la CNIL, même si le siège de l’entreprise traitant ses données est situé dans un autre État membre. Première observation : le règlement général sur la protection des données reprend les deux éléments que le Sénat avait mis en avant. L’autorité de contrôle compétente est bien celle de la résidence du demandeur. Par ailleurs, et bien qu’il s’agisse d’un règlement, une cinquantaine de marges de manœuvre –...

Malgré les difficultés matérielles de mise en œuvre, je souhaite insister sur plusieurs dispositions importantes du projet de loi qui permettront une amélioration de la protection de nos données personnelles. Je pense, par exemple, à la facilitation des actions en justice, notamment à la création d’une action de groupe. Je pense aussi à la possibilité donnée à la CNIL de saisir le Conseil d’État pour qu’il puisse ordonner la suspension du transfert des données en cause, dans l’attente d’une décision définitive de la Cour de justice de l’Union européenne. Ces dispositions contribueront effectivement à la protection des données personnelles des Français. La question de la fixation d’un âge légal de consentement au partage de données personnelles devrait égaleme...

...M. Sutour, le RGPD permet aux États membres d’harmoniser leurs pratiques, en prenant exemple sur ce qui fonctionne chez leurs voisins, ce qui leur laisse une marge très appréciable pour mener leurs propres politiques d’adaptation. Ils pourront d’ailleurs s’inspirer de la France, précurseur en matière de protection des données, puisque nous fêtons cette année les quarante années d’existence de la CNIL, d’ailleurs présidée en son temps par notre ancien collègue Alex Türk. Les données personnelles touchent donc à la vie privée, à la santé, à nos comportements, par le biais de photos ou d’informations… bref, à l’intime. Il me semble que c’est déjà se faire une certaine idée de l’homme et de l’État de droit que de considérer que le citoyen ne peut être dépossédé de cette intimité. En affirmant so...

...ances, alors que la publication, en avril 2016, du règlement et de la directive lui laissait amplement le temps d’agir. Permettez-moi donc de souscrire au signal que vous avez envoyé, madame la rapporteur, à l’heure où d’aucuns souhaitent réformer le Parlement pour pallier son supposé manque d’efficacité. Je conclurai en formulant le vœu que ce texte soit interprété par le Gouvernement et par la CNIL comme un outil salutaire visant à protéger les citoyens, grâce à l’adoption d’armes efficaces contre les mastodontes de l’internet, et non comme un nouveau monstre juridique assommant nos collectivités locales et nos PME.

... ». La grande disparité des régimes de protection au sein de l’Union, l’attention aiguisée de certains États, particulièrement la France, sur les données dites sensibles, les enjeux de souveraineté et les demandes de simplification des entreprises illustrent la difficulté. Élaboré par le Gouvernement dès le mois d’août 2017, le présent projet de loi, complexe à établir, a été envoyé ensuite à la CNIL, puis au Conseil d’État et, enfin, déposé sur le bureau de l’Assemblée nationale dès le mois de décembre dernier. La Chancellerie a donc déployé des efforts considérables pour mener à bien cette transposition extrêmement ardue dans des délais très courts. Seuls quelques experts en légistique, dont je ne fais pas partie, …

...ctivités territoriales, qui sont visées par ce texte, même si elles ne sont pas explicitement mentionnées. La commission des lois, consciente de l’inquiétude que peut susciter un nouveau cadre législatif, a proposé une série d’amendements. En effet, seuls 2 % de nos communes ont pris conscience du problème et commencé à engager un certain nombre de procédures, la campagne de sensibilisation de la CNIL n’ayant pas été entendue. Ces amendements tendent à dégager de nouveaux moyens financiers pour aider les collectivités à se conformer à leurs nouvelles obligations, à prendre en compte, grâce à l’action de la CNIL, leurs besoins spécifiques, à les exonérer, au même titre que l’État, en raison de leurs prérogatives de puissance publique, de l’amende administrative et de l’astreinte, à faciliter l...

...du texte qui nous réunit aujourd’hui. Il contient des avancées fondamentales pour la protection des données personnelles de nos concitoyens. Le temps qui m’est imparti ne me permettant pas de commenter chacune des dispositions de ce projet de loi dense et technique, je ne prendrai que deux exemples. Premièrement, j’évoquerai l’aménagement et le renforcement des pouvoirs et des compétences de la CNIL, qui se voit désigner autorité nationale de contrôle chargée de veiller à l’application du règlement et de la directive. Le projet de loi prévoit la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques et le passage d’un système de contrôle a priori à un système de contrôle a posteriori, plus adapté aux évolutions technologiques. ...

... la sécurité en cas de données sensibles, à la nomination d’un délégué à la protection des données ou encore à l’adaptation de certains fichiers existants. Face à cette situation, la commission des lois s’est attachée à dégager de nouveaux moyens financiers pour les aider à se mettre en conformité avec les nouvelles dispositions, en fléchant le produit des amendes et astreintes prononcées par la CNIL à leur intention et en créant une dotation communale et intercommunale pour la protection des données personnelles. La commission des lois a également facilité la mutualisation des services numériques entre collectivités territoriales. Afin de réduire l’aléa financier pesant sur ces dernières, elle a supprimé la faculté pour la CNIL de leur imposer des amendes administratives et a reporté de de...

...s, en 1978, notre pays défend son modèle et réinvente, dans un cadre européen affirmé, la protection des données personnelles en l’adaptant aux temps nouveaux. Bien que la loi Informatique et libertés ait été maintes fois modifiée, au gré des évolutions techniques et sociétales, ses grands principes sont confortés. Je m’en félicite d’autant plus que j’ai la chance de pouvoir siéger au sein de la CNIL, où je représente le Sénat avec notre collègue Sylvie Robert. Mes chers collègues, les données personnelles sont le prolongement de notre vie, de notre corps, de nos habitudes, de nos mœurs. En un mot, elles sont le reflet de ce que nous sommes, y compris notre part la plus intime. Parce qu’elles « appartiennent » à chaque citoyen, parce qu’elles nous caractérisent, parce que, massifiées, relié...

...ersonnelles de dizaines de millions d’électeurs américains dans le but de les cibler au profit de la campagne de Donald Trump. Cette collecte s’est faite, dans la majorité des cas, sans le consentement des utilisateurs du réseau social Facebook. N’en déplaise, alors, aux Cassandre, aux chantres de la dérégulation à tous crins ou à ceux que notre ancien collègue sénateur et ancien président de la CNIL, Alex Türk, qualifiait de tenants du « rien à cacher, rien à me reprocher », notre législation constitue un véritable bouclier protecteur, que ce texte ne vient que renforcer. Qu’il s’agisse des libertés publiques, de la sécurité et de la souveraineté, la question des données personnelles constitue bien la nouvelle frontière du monde nouveau. Le changement de paradigme que vous avez évoqué, mad...

...droit, il me semble que rien n’est prévu spécifiquement pour les autoriser à mettre en œuvre des traitements de données biométriques. Autoriser de tels traitements demanderait, surtout pour des acteurs privés, de robustes garanties que cet amendement ne propose pas. Nous n’avons pas assez de recul sur la portée d’une telle dérogation pour l’autoriser sans mener une réflexion plus approfondie. La CNIL, qui a été consultée, souligne la complexité du sujet et recommande la prudence.

Les études menées par les établissements d’enseignement supérieur et de recherche et par les organismes de recherche nécessitant le traitement de données dites « sensibles », lorsqu’elles ne peuvent s’appuyer sur le consentement des personnes concernées, sont majoritairement soumises à l’autorisation préalable de la CNIL, en application des dispositions du IV de l’article 8 et de celles de l’article 25 de la loi du 6 janvier 1978. Dans sa rédaction actuelle, le projet de loi supprime l’article 25, ce qui a pour conséquence de soumettre ces traitements à un dispositif d’autorisation par décret en Conseil d’État, pris après avis motivé et publié de la CNIL. Cette procédure nous semble particulièrement problématiqu...