Interventions sur "CNIL"

Cet amendement vise à aligner le droit issu de la loi Informatique et libertés sur celui du code de la santé publique concernant l’exercice de l’autorité parentale lorsque des mineurs participent à certaines études ou à des enquêtes en santé publique ne présentant aucun risque pour les mineurs. Les dispositions de cet amendement font suite à un courrier de la présidente de la CNIL à Marisol Touraine en janvier 2016 demandant une modification des dispositions de la loi Informatique et libertés. Ce dernier texte exige aujourd'hui l’autorisation systématique des deux parents pour le traitement des données relatives aux mineurs participant à des études ou enquêtes, y compris lorsque le code de la santé publique prévoit que l’autorisation d’un seul parent est requise, champ lim...

Selon le IV de l’article 11 de la loi du 6 janvier 1978, la CNIL est consultée sur tout projet de loi ou décret relatif à la protection des personnes à l’égard des traitements automatisés. Le I de l’article 29 du projet de loi tend à compléter cette mission, afin de prévoir la consultation de la CNIL également sur toute disposition ou tout projet de loi ou de décret relatif à la protection des données à caractère personnel. Cette précision étend significative...

Cet amendement vise à rétablir une disposition, supprimée par la commission des lois, qui permettait aux présidents des assemblées parlementaires de saisir la CNIL pour avis sur une proposition de loi. Cette disposition était pertinente, car elle prenait en compte l’initiative parlementaire dans le cadre de la procédure législative, au moment même où les propositions de loi comportent de plus en plus de dispositions intéressant la protection des données personnelles ou le traitement de telles données. Elle s’inspire directement de la saisine pour avis du ...

Cet amendement vise à confier à la CNIL la conduite d’une mission de réflexion éthique sur les questions de société soulevées par l’évolution des technologies numériques, en impliquant des personnalités qualifiées et en organisant des débats publics. La CNIL, la plus ancienne des autorités administratives indépendantes, a été instituée dans un contexte particulier : sa création illustre la première prise de conscience par les pouvoirs...

Je dois dire, monsieur Rome, que je saisis mal l’intérêt de l’amendement n° 237, dans la mesure où le texte de la commission sur l’article 29 prévoit, à son alinéa 4, la consultation de la CNIL « sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatif à la protection des personnes à l’égard des traitements automatisés ». Je vous renvoie à cette disposition que, j’imagine, vous avez lue minutieusement. Convenez que votre amendement n’y apporterait pas grand-chose, sinon une redite. Je vous serais donc reconnaissant de bien vouloir le retirer. En c...

Le Conseil d’État étant le conseiller du Gouvernement et la CNIL une autorité administrative indépendante, libre de répondre à toutes les sollicitations du Parlement, on ne peut pas transposer à la seconde la procédure de saisine du premier. Au reste, les limites de cet exercice apparaissent à l’avant-dernier alinéa de l’amendement : « À défaut de délibération dans les délais, l’avis de la commission est réputé avoir été rendu ». En effet, si le Gouvernement ...

Permettez-moi de vous donner lecture de l’alinéa 4 de cet article, tel qu’il serait rédigé si l’amendement était adopté : la CNIL « est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatif à la protection des personnes à l’égard des traitements automatisés ou comportant des dispositions relatives à la protection des données à caractère personnel ou au traitement de telles données ». Franchement, qui pourra appliquer un tel charabia ?

Pourquoi préciser que la CNIL, lorsqu’elle envisage de sanctionner un responsable de traitement pour défaut d’anonymisation de données, tient compte, le cas échéant, du fait qu’elle a certifié des dispositifs d’harmonisation ? S’agit-il d’atténuer la sévérité de la sanction ou au contraire de l’aggraver ? En tout état de cause, la précision ne semble pas nécessaire. Du reste, la CNIL elle-même, dans son avis sur le projet de...

...fins de recherches scientifiques et historiques ou à des fins statistiques. Par ailleurs, il nous semble pertinent d’harmoniser le délai imposé aux responsables de traitement avec le considérant 59, qui dispose que le responsable de traitement devrait être tenu de répondre à la personne concernée dans les meilleurs délais, et au plus tard dans un délai d’un mois. S’agissant du délai imposé à la CNIL, nous proposons de le mettre en conformité avec les dispositions du règlement européen relatives à la coopération entre l’autorité-chef de file et l’autorité locale saisie de la demande d’exercice du droit à l’oubli pour les mineurs. L’article 56-3 du règlement prévoit que l’autorité de contrôle saisie d’une plainte doit en informer sans tarder l’autorité-chef de file, qui dispose d’un délai de ...

Cet amendement a pour objet d’aggraver les sanctions en cas de non-respect par un responsable de traitement de ses obligations. Dans sa rédaction actuelle, l’alinéa 6 de l’article 32 prévoit seulement la saisine de la CNIL, qui devra se prononcer sur la demande dans un délai de quinze jours. Il est important de prévoir une sanction plus lourde pour pousser les responsables de traitement à agir rapidement, s’agissant de situations qui peuvent être urgentes du point de vue du respect des droits des personnes mineures.

... à modifier l’alinéa 11 de l’article 32. Pardonnez-moi de vous le dire : il s’agit d’un cas d’espèce, car, plus je lis cette disposition, plus je trouve que c’est un moment d’anthologie, comme souvent les rédactions européennes… Pour ce qui concerne l’amendement n° 75 rectifié, qui tend à créer une sanction spécifique en cas de non-exécution d’une demande d’effacement de données personnelles, la CNIL tient de l’article 45 de la loi Informatique et libertés le pouvoir de sanctionner tout contrevenant aux dispositions de ladite loi. La sanction d’un refus d’exécution d’une demande de mise en œuvre du droit à l’oubli existe donc déjà et, à ce stade, il semble inutile d’en ajouter une autre. Aussi, je sollicite le retrait de cet amendement.

... L’action de groupe est particulièrement indiquée en matière de données personnelles, puisque c’est l’agrégation des données de plusieurs milliers de consommateurs qui en fait la valeur pour les responsables de traitement. Afin que les actions en justice soient équitables, il est indispensable que le rapport de force entre les parties soit équilibré. Enfin, cette disposition est soutenue par la CNIL, elle est se révèle complémentaire des prérogatives de cette dernière et elle reprend les recommandations du Conseil national du numérique et du Conseil d’État.

...ntie suffisante pour éviter les procédures abusives. Surtout, l’action serait recevable pour tout manquement, que celui-ci soit individuel ou collectif. Or une action collective ne devrait être acceptée que lorsqu’il est porté atteinte à un intérêt collectif. On doit aussi s’interroger sur l’intérêt d’une telle action dans le champ de la protection des données personnelles, alors qu’échoit à la CNIL une mission générale de contrôle de la bonne application de la loi Informatique et libertés. Il sera toujours plus efficace de s’adresser à l’autorité de régulation pour faire cesser le trouble plutôt qu’au juge civil. Enfin, et surtout, la question des actions collectives est débattue dans le cadre d’un autre texte, en cours d’examen à l’Assemblée nationale : il ne serait pas de bonne méthode l...

Il s’agit ici de rétablir le texte de l’Assemblée nationale. La commission des lois a revu à la baisse le montant des sanctions pouvant être prononcées par la CNIL. Il s’agit d’un montant maximal, afin d’être dissuasif. Cette rédaction permet de s’aligner exactement sur le règlement européen, notamment concernant les critères précisément définis que les autorités de contrôle doivent prendre en compte pour fixer le niveau de la sanction. Cette anticipation permettra à nouveau de modifier les règles au moment de l’entrée en vigueur du règlement européen tou...

Monsieur Courteau, madame Gonthier-Maurin, je comprends votre démarche puisque le règlement européen prévoit cette augmentation des sanctions. En revanche, en rétablissant la rédaction de l’Assemblée nationale sur les sanctions de la CNIL et en transposant prématurément le règlement européen relatif à la protection des données personnelles, vous définissez un montant maximal valable uniquement lorsque la CNIL agit en tant que guichet unique, au nom de tous ses homologues européens. Or une telle augmentation des sanctions apparaît disproportionnée en l’absence d’harmonisation européenne. Je pense qu’il faut d’abord attendre l’entr...

Cet amendement vise à mettre en conformité les dispositions relatives aux sanctions pouvant être prononcées par le seul président de la CNIL avec les règles relatives à la séparation des pouvoirs, notamment entre l’instruction – décision de contrôle – et l’opportunité des poursuites – désignation d’un rapporteur. Je suis naturellement favorable à cette disposition. Je me permets toutefois de signaler que cet alinéa a été introduit dans le texte par un amendement de la commission des lois de l’Assemblée nationale qui avait reçu un avi...

... données biométriques, en particulier pour contrôler l’accès à des services ou à des locaux professionnels, commerciaux, scolaires ou de loisirs. À la mutation technique, qui n’en est qu’à son commencement, s’ajoute une volonté de diversification des usages, afin de répondre à des enjeux soit de contrôle social, soit de simple confort commercial. Encadrée par un régime d’autorisation confié à la CNIL, cette évolution appelle une clarification législative, dans la mesure où elle met en jeu des principes fondamentaux au regard de la protection de la vie privée et du corps humain. En effet, sommes-nous prêts à consentir à une banalisation de l’usage de données tirées du corps humain ? Ou préférons-nous que cet usage soit limité à des situations exceptionnelles ? La donnée biométrique, si elle n...

Une véritable politique de l’open data, soucieuse de la protection des données, doit permettre d’évaluer le risque que fait peser sur les individus la publication potentielle des bases de données de l’administration. Cette évaluation est une démarche habituelle, promue notamment par la CNIL dans ses guides pratiques. Elle est aussi au cœur de la stratégie mise en œuvre par l’équivalent de la CNIL et de la CADA en Grande-Bretagne. Elle consiste à s’interroger, préalablement à l’ouverture de la base, sur les risques de divulgation des secrets protégés par la loi, de réidentification ou de fuites de données personnelles, ainsi que sur leurs conséquences, et à déterminer s’il est souha...

...par l’article est précédée de l’établissement d’une analyse de risques. Or l’élaboration de cette analyse de risques, qui vise l’objectif légitime d’éviter la publication de données sensibles énumérées aux articles L. 311–5 et L. 311–6 du code des relations entre le public et l’administration, pourrait représenter une formalité excessive pour les administrations concernées, sans le soutien de la CNIL. La mention du rôle d’assistance de la CNIL dans cette tâche pourrait faciliter l’élaboration de ces analyses de risques et donc la publication des données publiques non sensibles.

L’alinéa 10 de l’article 4 prévoit que des documents contenant des données sensibles visées par les articles L. 311–5 et L. 311–6 du code des relations entre le public et l’administration peuvent être rendus publics après avoir fait l’objet d’un traitement d’occultation, sans plus de précision. Cet amendement vise donc à insister sur la nécessité d’associer la CNIL à ces opérations en proposant qu’elle puisse participer à l’établissement d’un protocole guidant les services en charge de l’occultation des données sensibles. J’ai noté le succès qu’a eu tout à l’heure un amendement sur la CNIL. Je pense qu’il en ira de même ici…