Interventions sur "RGPD"

... et des PMI qui forment le « maillon faible » – même si certaines d’entre elles sont en avance – en termes de population d’entreprises, car elles ne disposent pas nécessairement des conseils juridiques dont bénéficient les grands groupes, la présidente de la CNIL a annoncé la publication prochaine d’une interface « clé en main », coproduite avec Bpifrance sous forme d’un « pack de conformité » au RGPD, destinée à ces acteurs. De manière générale, la mission d’information de la CNIL ne fait pas défaut, son trente-septième rapport annuel en témoigne. Il semble inapproprié aux sénateurs du groupe socialiste et républicain de commencer à compartimenter la mission générale d’information de la CNIL à ce stade. Il s’agit de la première mission de la CNIL et elle intéresse toutes les personnes conce...

Cet amendement vise à mieux prendre en considération les publics dépourvus de compétences numériques dans l’élaboration des codes de conduite sectoriels. En droit, l’objectif est déjà directement pris en compte par le RGPD qui encadre les conditions de recueil du consentement ; il oblige à une information adaptée au public et prévoit des garanties spécifiques pour certaines personnes vulnérables, dont les mineurs. La commission demande donc le retrait de cet amendement.

Cet amendement, qui élargirait le pouvoir réglementaire de la CNIL à tout type de traitement, se heurte à un double obstacle. Tout d’abord, il se heurte au RGPD qui ne permet aux États membres de fixer des règles plus protectrices que celles qu’il énonce que dans certaines matières. Il se heurte ensuite à un obstacle constitutionnel, car la délégation d’un pouvoir réglementaire aussi large à une autorité administrative risquerait d’être censurée au regard de l’article 21 de la Constitution. J’ajoute que la CNIL elle-même est satisfaite de la rédaction ...

Le présent amendement vise à introduire plus de souplesse dans l’organisation interne des travaux de la CNIL. Son adoption permettrait à la formation plénière de la commission de déléguer au président ou au vice-président délégué certaines décisions touchant aux nouvelles obligations de notification des violations de données. Conformément à l’article 34 du RGPD, la CNIL devra recevoir ces notifications et examiner si la violation est susceptible d’engendrer un risque élevé, afin soit d’exiger du responsable de traitement de communiquer cette violation aux personnes concernées, soit de décider que cette communication n’est pas nécessaire. Les services de la CNIL ont mis en avant auprès de votre rapporteur les chiffres des Pays-Bas, où cette obligation d...

Le présent amendement a pour objet de se saisir de la faculté offerte aux États membres en matière de secret professionnel par l’article 90 du RGPD. Cet article autorise l’adoption de règles spécifiques, afin de définir les pouvoirs des autorités de contrôle à l’égard des responsables du traitement ou des sous-traitants, qui sont soumis à une obligation de secret professionnel ou à d’autres obligations de secret équivalentes, lorsque cela est nécessaire et proportionné, et ce pour concilier le droit à la protection des données à caractère p...

...ocratie avancée et responsable, le contrôle de l’activité des services de renseignement et notamment des fichiers qu’ils produisent, qu’il s’agisse de l’usage des techniques de renseignement ou de leur résultat en termes de données collectées et traitées, répond à une exigence légitime pour tous ceux qui sont attachés au respect des droits de l’homme. Bien que ces fichiers ne soient soumis ni au RGPD ni à la directive que le présent projet de loi entend transposer, les modalités de leur contrôle présentent un lien direct avec le texte que nous examinons, dès lors que l’article 4 du projet de loi modifie l’article 44 de la loi de 1978 dont le IV prévoit, en l’état actuel du droit, que les pouvoirs de contrôle général des fichiers reconnus à la CNIL ne s’appliquent pas à certains traitements in...

Lors de la discussion générale, nous avons évoqué le coût financier que représente, pour les entreprises, en particulier les petites entreprises, la mise en conformité au RGPD. Contrairement aux grands groupes, l’adaptation à ces nouvelles normes dans les petites structures dépourvues de service juridique interne sera probablement plus laborieuse, sans pour autant que cette phase transitoire représente un risque d’utilisation illicite des données personnelles supérieur au risque actuel. Par ailleurs, le b du 2 de l’article 83 du RGPD prévoit spécifiquement de tenir co...

...e temps, alors que la période est au bouleversement, que l’on allège la contrainte réglementaire pesant sur les collectivités, en leur demandant de se responsabiliser, au même titre que les entreprises, les associations et tous les autres gestionnaires de données, il faut leur proposer un accompagnement solide sur le terrain. Comment ? On ne peut ignorer l’argument budgétaire… Dans la fenêtre du RGPD – nous avons évoqué les uns et les autres une prise de conscience – se sont engouffrés tout un tas d’opérateurs privés, prestataires de services, juristes en tous genres, qui proposent des services à un coût très élevé, comme Mme Joissains l’a rappelé. Mais je vois une autre solution. Si nous voulons être opérationnels, les associations départementales de maires, les syndicats d’électricité, ceu...

Cet amendement vise uniquement à harmoniser le niveau des amendes. L’article 83 du RGPD punit d’une amende pouvant s’élever jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial, le non-respect des pouvoirs d’enquête de l’autorité de contrôle, c’est-à-dire de la CNIL. L’article 6 que nous examinons tend à harmoniser les sanctions financières prévues à l’article 45 de la loi Informatique et libertés, en fixant leur montant maximal aux mêmes seuils, à savoir 20 mill...

...tiques. Or, dans la rédaction actuelle, elle n’est plus en parfaite cohérence avec la rédaction de la loi Informatique et libertés, telle qu’elle découlera de l’adoption du présent projet de loi. Par ailleurs, les contraventions prévues dans les articles réglementaires du code pénal aux articles R. 625-10 à R. 625-13, et qui relèvent d’un décret en Conseil d’État, visent des faits classés par le RGPD parmi les manquements les plus graves. Ces faits devraient donc être requalifiés en délits, et placés au même niveau que les autres infractions. Enfin, il n’est pas prévu, dans le projet de loi actuel, de sanctionner le non-respect de l’ensemble des nouveaux droits et obligations introduits par le RGPD. Le présent amendement a donc un double objet. D’une part, il vise à harmoniser le montant d...

Nous demandons également le retrait de cet amendement, car la même confusion est créée entre sanctions administratives et pénales. Les sanctions administratives que la CNIL pourra imposer doivent être bien distinguées des sanctions prononcées par les juridictions pénales. Le RGPD renvoie au droit des États membres sur ce point et, à ce titre, le code pénal réprime déjà plusieurs infractions sanctionnant la méconnaissance de la loi Informatique et libertés. L’échelle des peines et l’architecture globale des sanctions pénales mériteraient sûrement d’être actualisées, mais la rédaction choisie n’est pas la bonne.

Avec cet amendement, nous souhaitons insister sur la nécessité d’exiger de nos partenaires européens qu’ils appliquent le règlement RGPD avec la même rigueur que celle que nous nous imposerons. La création d’une coopération entre autorités de contrôle n’aura pas d’effet positif sur la protection des données personnelles des citoyens européens si certains États membres adoptent des stratégies non coopératives. Il est à prévoir que la mise en œuvre de cette coopération puisse, dans les premiers temps de l’application, donner lieu ...

Le RGPD renforce la coopération européenne en matière de protection des données personnelles. Il instaure un système d’action cohérente et d’assistance mutuelle entre les différentes autorités compétentes. Dans ce cadre, la CNIL pourra être amenée à réaliser des opérations conjointes avec les autorités de contrôle des autres États membres. Lorsqu’une opération de contrôle conjointe se déroule sur le ter...

Nous demandons le retrait de cet amendement, car la nuance proposée par ses auteurs pour les données dites sensibles ne figure pas dans l’article 9 du RGPD. Or l’objet même du présent article est d’harmoniser la loi Informatique et libertés avec le règlement.

L’objet de cet amendement, dont Mme Bruguière est la première signataire, est, d’une part, d’apporter les précisions manquantes au RGPD et, d’autre part, de corriger certaines contradictions entre le projet de loi et le règlement. L’article 9 du RGPD manque de précision en n’interdisant pas explicitement les traitements qui, recoupant des données non sensibles que la personne concernée a publiées, visent à reconstituer des données sensibles, qui, elles, n’ont jamais été publiées par la personne. De même, cet article n’autorise ...

...ent de données sensibles que pour certaines finalités dont il dresse une liste exhaustive. Or l’article 8, chapitre III, de la loi de 1978 tel que modifié par le projet de loi, reviendrait à autoriser en cas d’application d’une mesure technique telle l’anonymisation à bref délai les traitements de données sensibles poursuivant n’importe quelle finalité. Nous considérons que cela est contraire au RGPD : cette autorisation doit être limitée à des finalités précises. Cette contradiction doit être par conséquent supprimée.

Comme les amendements précédents, celui-ci vise à lever les incertitudes en mettant en cohérence la rédaction du RGPD et celle de la loi Informatique et libertés. Il est ainsi précisé la nature des traitements automatisés ainsi que la notion de fichier.

... une optique de sécurité juridique et de simplification, en particulier pour les acteurs économiques récents et de petite taille. Cet amendement s’inscrit dans l’esprit du considérant 171, qui prévoit déjà une série d’exceptions pour garantir le maintien dans les mêmes conditions des traitements en cours, lorsqu’ils ont été déclarés ou a fortiori autorisés avant l’entrée en application du RGPD.

...ligations de transparence en faveur des personnes dont les données sont l’objet de traitement, notamment l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement, les destinataires ou les catégories de destinataires des données. Cet amendement prévoit en outre des obligations supplémentaires qui ne sont pas du tout prévues par le RGPD et auxquelles je ne peux donc être favorable.