Interventions sur "traitement"

Le délégué à la protection des données est chargé de mettre en œuvre la conformité au règlement général sur la protection des données au sein de l’organisme qui l’a désigné, et ce pour l’ensemble des traitements auxquels cet organisme a recours. La désignation d’un délégué est obligatoire pour les autorités ou les organismes publics. Elle s’effectue sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions. Du fait de ces attributions sensibles, il semble ...

Monsieur le président, madame la garde des sceaux, monsieur le président de la commission des lois, mes chers collègues, la loi Informatique et libertés a franchi le cap des quarante années d’existence. C’est une grande loi, une loi visionnaire, et si ses dispositions ont dû être adaptées au fil de l’évolution rapide des technologies numériques et du développement de nouveaux modes de traitement des données personnelles, ses principes cardinaux sont restés d’airain : consentement éclairé, loyauté de la collecte des données personnelles, adéquation aux finalités de traitement. Les traitements de données ont changé d’échelle et se sont mondialisés avec l’apparition de véritables géants numériques américains et, désormais, chinois. Dans cette course constante que se livrent le droit et la...

...nt, madame la garde des sceaux, mes chers collègues, si le texte que nous examinons aujourd’hui a pour principal objet d’assurer la conformité de notre droit national avec le droit européen, il soulève toutefois plusieurs questions qui méritent d’être plus longuement discutées au sein de notre assemblée. L’adoption en 2016 du règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, le RGPD, constitue un progrès indéniable sur le plan européen. Il s’agit également d’une victoire diplomatique française, ce règlement visant à faire converger les droits des États membres vers des standards plus protecteurs des données personnelles, proches des standards français. Il est vrai que, depuis la loi du 6 janvier 1978, notre pays a joué un rôle précu...

...e la gratuité de leurs services. La création de droits sur les données personnelles remettrait en cause ce modèle de financement. Un tel sujet mérite d’être débattu, dès lors que les Français attendent une plus grande traçabilité des informations les concernant. Il en va de même s’agissant des algorithmes utilisés par l’administration, à la suite des vives critiques qui se sont élevées contre le traitement automatisé du système admission post-bac. La solution proposée par Mme la rapporteur est plus satisfaisante que la version issue des travaux de l’Assemblée nationale, mais nous considérons que le dispositif pourrait encore être amélioré. L’introduction d’un droit de rectification des archives fera probablement l’objet de nombreuses discussions. Il est à craindre que cette disposition, qui soulèv...

Il convient également de le saluer, vous avez proposé une entrée en vigueur différée de deux ans concernant la possibilité de lancer une action de groupe en responsabilité. Ce nouveau délai est effectivement indispensable pour permettre non seulement à nos collectivités, mais aussi aux TPE-PME de s’organiser pour se conformer à leurs nouvelles obligations. Ne pas laisser aux responsables de traitement ce laps de temps aurait été parfaitement déloyal au regard de leurs moyens, et aurait eu pour conséquence de les exposer directement à des actions de groupe. En effet, les nouvelles règles dont nous débattons aujourd’hui sont certes salutaires, mais aussi particulièrement lourdes à mettre en place. Peu nombreuses sont les PME qui disposent dans l’immédiat de l’ingénierie nécessaire. Alors que n...

Cet amendement tend à protéger les jeunes élèves en instituant une interdiction de traitement des données à caractère personnel collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale. Il vise à inscrire dans le droit une obligation souvent présente dans les conditions générales d’utilisation des services numériques de l’éducation nationale. La protection de la vie privée et des données personnelles des élèves du premier et du second cycles est e...

...up trop large et l’interdiction proposée risque de paralyser l’activité des établissements, où la gestion des élèves et des notes est, aujourd’hui, souvent très dématérialisée. La commission formule donc une demande de retrait. Toutefois, et plusieurs personnes reçues en audition nous en ont fait part, nous abordons ici, indirectement, un problème important : l’insuffisance de la protection des traitements de données scolaires et l’impréparation de l’éducation nationale face à la mise en conformité au règlement général de protection des données. Il serait souhaitable que le Gouvernement nous éclaire et nous rassure sur ce point.

...e de ce processus rapide et technique, en retenant, par exemple, la suppression pour les collectivités locales de l’amende administrative et de l’astreinte prévue à l’article 6 du texte. Je veux également évoquer l’action de groupe, introduite en France très tardivement, en 2014. Notre collègue députée Paula Forteza a souhaité en étendre le champ en constatation d’un manquement du responsable de traitement ou de son sous-traitant. Quant à notre commission des lois, elle espère durcir ses conditions d’exercice. Or, en fait et en droit, très peu d’actions de groupe ont été engagées depuis l’introduction du dispositif en France. Cette procédure constitue un droit supplémentaire pour nos concitoyens et pour les consommateurs. En matière de données personnelles, elle était la seule pour laquelle l’actio...

Monsieur le président, madame la garde des sceaux, monsieur le président de la commission des lois, madame la rapporteur, mes chers collègues, le projet de loi qui nous est soumis aujourd’hui a pour objet de mettre la loi de 1978 en conformité avec le droit de l’Union européenne. Il transpose le règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Avant de traiter du fond, permettez-moi, mes chers collèg...

Je l’ai dit dans la discussion générale, il est temps que les services de l’État sortent de l’ambiguïté quand ils concluent des marchés portant sur le traitement des données. C’est non sous ce gouvernement, mais sous le précédent que l’éducation nationale a contractualisé avec Google et Microsoft, sans aucun appel d’offres d’ailleurs, ce qui est très problématique…

...ispositions de ce projet de loi dense et technique, je ne prendrai que deux exemples. Premièrement, j’évoquerai l’aménagement et le renforcement des pouvoirs et des compétences de la CNIL, qui se voit désigner autorité nationale de contrôle chargée de veiller à l’application du règlement et de la directive. Le projet de loi prévoit la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques et le passage d’un système de contrôle a priori à un système de contrôle a posteriori, plus adapté aux évolutions technologiques. En contrepartie, la CNIL voit ses pouvoirs de contrôle et de sanction renforcés, avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme conc...

L’objet de cet amendement, dont Mme Bruguière est la première signataire, est, d’une part, d’apporter les précisions manquantes au RGPD et, d’autre part, de corriger certaines contradictions entre le projet de loi et le règlement. L’article 9 du RGPD manque de précision en n’interdisant pas explicitement les traitements qui, recoupant des données non sensibles que la personne concernée a publiées, visent à reconstituer des données sensibles, qui, elles, n’ont jamais été publiées par la personne. De même, cet article n’autorise le traitement de données sensibles que pour certaines finalités dont il dresse la liste exhaustive. Or l’article 8 de la loi de 1978, tel que modifié par le projet de loi, autoriserait l...

Monsieur le président, madame la ministre, mes chers collègues, l’objet du projet de loi relatif à la protection des données personnelles est d’adapter notre droit au « paquet européen de protection des données personnelles », qui se compose d’un règlement général sur cette protection et d’une directive spécifique aux traitements mis en œuvre en matière policière et judiciaire. Les délais sont très limités : nous devons avoir transposé la directive avant le 6 mai prochain, et le règlement doit être directement applicable à partir du 25 mai ! Concernant en premier lieu le règlement européen, celui-ci doit constituer le nouveau cadre de la protection des données personnelles des Européens tout en protégeant la compétitivi...

L’objectif de cet amendement identique à celui de Mme Bruguière est double. D’une part, il vise à préciser l’article 9 du règlement général sur la protection des données en interdisant de manière explicite les traitements qui visent à reconstituer des données sensibles qui n’ont jamais été publiées par la personne. D’autre part, il tend à corriger une contradiction entre le présent projet de loi et le règlement européen. En effet, l’article 9 du règlement général sur la protection des données n’autorise le traitement de données sensibles que pour certaines finalités dont il dresse une liste exhaustive. Or l’arti...

La commission sollicite le retrait de cet amendement, qui vise, par dérogation à l’interdiction de traitement de données sensibles, à permettre aux établissements financiers d’utiliser des bases de données biométriques pour les aider à remplir les obligations de vigilance qui leur sont imposées par le code monétaire et financier. Ces obligations consistent essentiellement en une analyse de risque. Les établissements financiers doivent ainsi tenir compte de multiples facteurs inhérents aux clients, aux pr...

...satlantique. Certes, la vision de la privacy diffère entre l’Amérique et l’Europe, mais il y va avant tout d’enjeux de pouvoir et de domination économique. Des lobbyistes contestent les mesures prises par la Commission européenne pour lutter contre les abus de position dominante et les pratiques déloyales des plateformes horizontales dont l’intermédiation est quasi incontournable. Mais les traitements des masses de données et les progrès de l’intelligence artificielle exigent une transparence absolue des plateformes et des algorithmes utilisés, seule condition de la neutralité. De même faut-il garantir une liberté de choix des fournisseurs de logiciels ou de services nécessaires au fonctionnement de ces derniers. S’agissant des marchés publics portant sur le traitement des données de nos adm...

Les études menées par les établissements d’enseignement supérieur et de recherche et par les organismes de recherche nécessitant le traitement de données dites « sensibles », lorsqu’elles ne peuvent s’appuyer sur le consentement des personnes concernées, sont majoritairement soumises à l’autorisation préalable de la CNIL, en application des dispositions du IV de l’article 8 et de celles de l’article 25 de la loi du 6 janvier 1978. Dans sa rédaction actuelle, le projet de loi supprime l’article 25, ce qui a pour conséquence de soumettre...

L’Europe doit donc se doter d’un régime très exigeant de protection des données, incluant les conditions de traitement de ces données, mais aussi, demain, les technologies de protection de la confidentialité, qui représentent les nouveaux instruments de la souveraineté pour l’Europe. Or, madame la ministre, je ne vois pas de stratégie pour l’internet des objets. Pourtant, les objets connectés envahissent déjà notre quotidien, se développent dans des domaines aussi sensibles que la santé, les transports, l’enviro...

... profondeur la loi fondatrice de 1978, il est en premier lieu légitime de veiller à ce que les droits et libertés inscrits à l’article 1er de cette grande loi soient toujours effectifs. Car le renversement de paradigme qui est opéré, avec le passage d’une logique de déclaration ou d’autorisation préalable à une logique de responsabilisation, mais aussi de contrôle des acteurs mettant en œuvre des traitements, ne doit bien sûr pas se traduire par un affaiblissement des libertés individuelles et publiques. Le Sénat, on le sait, a toujours porté une vigilance aiguë au respect de la vie privée et à la protection des données à caractère personnel, droit fondamental désormais inscrit à part entière dans l’ordre juridique européen. Ce fut en particulier le cas lors du débat que nous avons eu sur le projet...

Comme les amendements précédents, celui-ci vise à lever les incertitudes en mettant en cohérence la rédaction du RGPD et celle de la loi Informatique et libertés. Il est ainsi précisé la nature des traitements automatisés ainsi que la notion de fichier.