Le Sénat examinera en séance publique, le 22 mars prochain, selon la procédure d'examen simplifié, le projet de loi autorisant la ratification du protocole n° 16 à la convention de sauvegarde des droits de l'homme et des libertés fondamentales, qui a été envoyé au fond à la commission des affaires étrangères, de la défense et des forces armées.
Ce protocole instaure un mécanisme permettant aux juridictions nationales suprêmes d'adresser à la Cour européenne des droits de l'homme (CEDH) des demandes d'avis consultatifs sur des questions de principe relatives à l'interprétation ou à l'application des droits et libertés définis par la convention et ses protocoles, dans le cadre d'une affaire pendante devant elles.
C'est un sujet sensible : s'il donnera davantage de sécurité juridique au Conseil d'État, à la Cour de cassation et au Conseil constitutionnel, en les prémunissant contre un désaveu par la CEDH, ce protocole constitue un pas supplémentaire dans l'intégration dans notre ordre juridique interne de la jurisprudence de la CEDH. Aussi voulais-je évoquer la question devant vous.
Nous examinons le projet de loi relatif à la protection des données personnelle. L'objet de ce texte est d'adapter la loi « Informatique et libertés » au paquet européen de protection des données personnelles, qui se compose d'un règlement général sur la protection des données (RGPD) et d'une directive spécifique aux traitements mis en oeuvre en matière policière et judiciaire.
Ces sujets ne sont pas inconnus de notre commission, qui a la chance de compter parmi ses membres un commissaire de la Commission nationale de l'informatique et des libertés (CNIL), Loïc Hervé. De façon générale, le Sénat s'est distingué ces dernières années en étant particulièrement actif sur ces questions.
Il a d'abord agi au niveau européen. Saluons, à ce propos, le travail mené par notre collègue Simon Sutour, au sein de la commission des affaires européennes, sur l'orientation et les principes directeurs du règlement européen, puis à la commission des lois, où il a été rapporteur sur le règlement, la directive et la résolution votée en séance publique. Dans le cadre de ses travaux de contrôle, le Sénat a également entrepris ces dernières années une réflexion plus large et nourrie sur les enjeux de souveraineté numérique. En témoignent la mission commune d'information sur la gouvernance d'Internet, dont le rapporteur était notre collègue Catherine Morin-Desailly, qui devrait bientôt présenter un rapport sur l'éducation et la formation numériques. Enfin, au sein de notre commission, lors de la discussion de la loi pour une République numérique, plusieurs dispositions approuvées à l'initiative du rapporteur Christophe-André Frassa avaient justement comme ambition d'anticiper l'entrée en vigueur des nouvelles règles européennes de protection des données - ce qui n'était pas un luxe !
Le règlement européen doit constituer le nouveau cadre de la protection des données personnelles des Européens tout en protégeant la compétitivité des entreprises européennes. Il sera directement applicable à partir du 25 mai, mais son application uniforme est atténuée par l'existence de 56 marges de manoeuvre, qui sont autant d'options facultatives ou de dérogations que les États peuvent introduire dans leur droit national.
Il poursuit trois objectifs principaux. D'abord, renforcer les droits des personnes dont les données sont utilisées : le règlement réaffirme les droits des personnes - droits d'accès, d'opposition et de rectification -, introduit de nouveaux droits mieux adaptés à l'évolution des technologies numériques - portabilité des données, droit à l'oubli, lutte contre le profilage, protection spécifique des enfants - et facilite l'exercice de ces droits par des actions par mandataire, voire des actions collectives et le droit à réparation du préjudice subi.
Le deuxième objectif du règlement est de mieux graduer les obligations des acteurs en fonction des risques pour la vie privée. Il met ainsi fin à la plupart des formalités préalables auprès des autorités nationales. En contrepartie, la responsabilité des opérateurs gérant des fichiers est mieux graduée, étalée durant tout le cycle de vie des données. Ce n'est qu'en cas de risque qu'il revient au responsable de réaliser une étude d'impact et de solliciter, au besoin, l'avis du régulateur. Le règlement privilégie le recours à de nouveaux outils de conformité inspirés du droit souple : lignes directrices, codes de conduite spécifiques à certains secteurs et certification. Il généralise la désignation de délégués à la protection des données, dont le rôle, au sein de chaque structure, est d'aider à traiter les réclamations et de conseiller le responsable de traitement en coopération avec le régulateur national. Sa nomination est obligatoire dans plusieurs cas pour le secteur privé, pour les traitements à grande échelle et les données sensibles, et, surtout, pour toute personne publique - ce qui inclut même la plus petite de nos communes !
Le troisième objectif du règlement est de doter les régulateurs de pouvoirs à la mesure des enjeux de souveraineté numérique. Le champ d'application territorial et matériel du droit européen est considérablement élargi : le règlement doit être appliqué non seulement dès lors que le responsable de traitement est établi sur le territoire de l'Union européenne - c'est le critère de résidence - mais il a aussi vocation à s'appliquer hors de l'Union, dès lors qu'un résident européen est visé par un traitement de données, y compris donc par Internet. Les règles de transfert de données personnelles hors de l'Union européenne sont précisées et la coopération entre régulateurs en cas de transferts transfrontaliers est considérablement renforcée, ce qui est bienvenu.
Le règlement instaure des amendes désormais dissuasives en cas de manquement : jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial, chiffres pouvant même être doublés dans certains cas. Les autorités nationales sont ainsi enfin dotées d'outils à la hauteur des moyens des géants du numérique qu'elles sont appelées à réguler.
La directive reprend l'essentiel des principes du règlement et est applicable à tout traitement de données à caractère personnel aux fins de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales. Elle doit, pour sa part, être transposée avant le 6 mai 2018.
Le projet de loi a pour but d'adapter notre droit au règlement général, de tirer parti des marges de manoeuvre nationales qu'il autorise et de transposer la directive sectorielle. Le Gouvernement a fait le choix symbolique de conserver la loi Informatique et libertés en n'opérant que les modifications strictement indispensables à la mise en oeuvre du règlement et de la directive.
Ainsi, les missions de la CNIL sont élargies et ses pouvoirs, renforcés. Le traitement des données dites sensibles reste encadré et des régimes spécifiques plus protecteurs, conservant des formalités préalables, restent prévus pour certains traitements, comme ceux du numéro de sécurité sociale, des données biométriques ou génétiques, des condamnations pénales, des archives ou des données de santé. L'Assemblée nationale a étendu l'objet de l'action de groupe en matière de données personnelles à la réparation des dommages en vue d'obtenir la réparation des préjudices matériels. Les députés ont abaissé à quinze ans l'âge de consentement au traitement des données personnelles, fixé à seize ans dans le projet initial. Certaines décisions administratives individuelles fondées sur des algorithmes sont autorisées. L'importance des conditions de recueil du consentement est réaffirmée, tandis que sont supprimées les dispositions relatives à la portabilité des données, jugées satisfaites par celles, d'application directe, prévues dans le règlement. Les règles applicables au traitement de données à caractère personnel prévues par la directive sont transposées. Le fichier de traitement d'antécédents judiciaires (TAJ) est sécurisé en réponse à une décision QPC du Conseil constitutionnel.
Mes amendements ne remettent pas en cause l'objectif global de ce texte mais corrigent de graves lacunes et rééquilibrent certains éléments du dispositif.
D'abord, je souhaite que notre commission réponde aux attentes et aux vives inquiétudes des collectivités territoriales. Ce sont les grandes absentes du projet de loi : pas une ligne ne les mentionne. Elles sont pourtant concernées au premier chef : fichier d'état civil, fichier des cantines scolaires, fichier d'aide sociale, listes électorales, fiscalité locale, cadastre... Elles sont responsables de nombreux traitements sur lesquels elles n'ont souvent pas prise, car ils découlent d'obligations légales.
Sous la menace de sanctions pécuniaires, elles devront assumer seules des coûts importants : nomination d'un délégué à la protection des données, adaptation de certains fichiers existants, renforcement de la sécurité en cas de données sensibles, réponse à l'exercice des nouveaux droits des particuliers... Les discussions à l'Assemblée nationale n'ont malheureusement pas permis de corriger les lacunes initiales du texte, car si les députés sont restés attentifs, à juste titre, au sort des TPE-PME, les collectivités territoriales ont été totalement négligées dans les débats.
Face à cette situation, je vous proposerai de prévoir que la CNIL adapte les normes qu'elle édicte et les informations qu'elle diffuse aux besoins et aux moyens des collectivités, notamment des plus petites d'entre elles, de dégager de nouveaux moyens pour aider les collectivités à se conformer à leurs nouvelles obligations, de faciliter la mutualisation des services numériques entre collectivités, et de réduire l'aléa financier, en supprimant - comme pour l'État - la faculté pour la CNIL d'imposer aux collectivités des amendes administratives et en reportant de deux ans l'entrée en vigueur de l'action de groupe en réparation des préjudices subis en matière de données personnelles.
Ensuite, même si je suis consciente du caractère extrêmement délicat du choix à opérer ici, je vous proposerai de rétablir à seize ans l'âge du consentement numérique autonome, dans l'attente d'un rapport du Gouvernement nous éclairant sur les pratiques et les risques ou des résultats des travaux en cours au Sénat. Il me semble aussi nécessaire de mieux encadrer la faculté pour l'administration de prendre des décisions individuelles sur le seul fondement de traitements automatisés de données.
Je vous proposerai également de rééquilibrer la procédure d'action de groupe en réparation des préjudices. Sans la remettre en cause, il nous faut entendre l'inquiétude des petits opérateurs, collectivités territoriales comprises : chacun s'accorde à dire qu'ils ne seront pas prêts pour appliquer le règlement européen dès le 25 mai 2018 et ils pourraient être mis à terre par une condamnation pécuniaire trop lourde - sans compter les risques d'abus de droit, de quérulence ou d'extorsion. Pour apaiser ces craintes, je vous proposerai notamment de différer de deux ans l'entrée en vigueur de l'action de groupe en réparation des préjudices, pour laisser le temps aux responsables de traitement de s'adapter, et d'imposer l'agrément préalable des associations de protection de la vie privée pour que celles-ci puissent introduire une action de groupe, afin de s'assurer de leur sérieux et de leur indépendance.
Je souhaite solennellement attirer l'attention de notre commission sur le grave problème que va poser l'insuffisance des moyens de la CNIL : déjà très sollicitée, elle ne disposera pas des capacités matérielles et humaines de faire face à sa nouvelle charge de travail. Les quelques mesures visant à faciliter son organisation interne ne suffiront pas et nous devrons absolument interroger le Gouvernement en séance à ce sujet. Les deux cent personnes qui travaillent à la CNIL représentent un effectif plus de deux fois inférieur à celui dont dispose son homologue britannique.
Je vous ferai aussi diverses propositions pour améliorer la transposition de la directive et garantir la constitutionnalité des fichiers de traitement des antécédents judiciaires.
Enfin, il nous faudra obtenir de sérieuses garanties sur l'orientation de l'ordonnance de recodification destinée à procéder aux nombreuses mises en cohérence que le Gouvernement affirme ne pas avoir eu le temps de réaliser dans le texte présenté. La CNIL et le Conseil d'État ont indiqué que l'illisibilité de ce projet de loi posait un problème d'accès au droit. Le manque d'anticipation du Gouvernement est grave : le contenu de la directive et du règlement étaient connus depuis avril 2016. Il révèle, vis-à-vis du Parlement, une désinvolture inouïe et, vis-à-vis des collectivités territoriales, un mépris abyssal.
Je vous proposerai donc de signifier au Gouvernement notre vive désapprobation en supprimant purement et simplement cette habilitation ; ceci lui laissera le soin, s'il le souhaite, de venir en séance expliquer les raisons de cette impréparation inédite, éventuellement de rétablir l'habilitation sollicitée et de préciser les contours du futur texte résultant de cette ordonnance.
Merci. Ce projet de loi applique un règlement et transpose une directive. Les délais sont limités : nous devons avoir transposé la directive avant le 6 mai et le règlement avant le 25 mai 2018. Comme les gouvernements successifs n'ont pas fait preuve de beaucoup de diligence, notre rapporteur propose des mesures transitoires pour que la loi ne s'applique pas de manière brutale.
Actuellement vice-président de la commission des affaires européennes après en avoir été le président, Simon Sutour est un spécialiste reconnu de ces questions. Pour combattre la sur-transposition, la conférence des présidents a récemment décidé que la commission des affaires européennes pourrait présenter des observations sur certains textes législatifs. Nous expérimentons cette nouvelle procédure.
Le 21 février dernier, la conférence des présidents a effectivement confié à la commission des affaires européennes, à titre expérimental et pour un an, une mission de veille sur l'intégration des textes européens dans notre législation nationale. C'est à ce titre que cette commission a examiné la semaine dernière, sur mon rapport, ce projet de loi, et a formulé des observations. Sophie Joissains étant aussi membre de cette commission, elle a pris une part active au débat.
Nous avions suivi avec attention l'élaboration de ce règlement général et de cette directive. J'ai présenté deux propositions de résolution européennes et un avis motivé sur ce sujet, qui ont été pris en considération : nous demandions que des dispositions nationales plus protectrices puissent être conservées, que toute personne résidant en France puisse saisir la CNIL, quand bien même le traitement des données aurait lieu dans un autre pays - l'Irlande, par exemple - et qu'ainsi tout citoyen français relève de la CNIL française.
Le projet de loi maintient certains régimes spéciaux protecteurs : il révise le régime particulier d'utilisation du numéro national d'identification des personnes et certains traitements mis en oeuvre pour le compte de l'État, il définit des règles plus protectrices pour les données biométriques et génétiques, il introduit un nouveau dispositif régissant le traitement des données de santé, qui présentent une finalité d'intérêt public.
La commission des affaires européennes relève toutefois que les régimes spéciaux visés et les règles nationales applicables aux données les plus sensibles s'inscrivent bien dans la logique du maintien d'un haut niveau national de protection souhaité par le Sénat, sans excéder les marges de manoeuvre ouvertes par le règlement. L'utilisation des données par les services de renseignement n'est toutefois pas évoquée.
La commission des affaires européennes a souligné la charge que représente l'obligation de mise en conformité à très brève échéance pour les petites collectivités territoriales, qui sont souvent dans l'incapacité financière et technique d'y faire face. Et le règlement, d'application immédiate, ne prévoit pas de délai de mise en conformité. Il est donc indispensable de prévoir un accompagnement adapté : nous l'avions évoqué lors de l'audition de la présidente de la CNIL dès novembre 2016.
La commission a insisté sur la nécessité de s'assurer de la protection effective des données et des droits des personnes en cas de transfert vers des pays tiers. Dans son premier rapport sur l'application du privacy shield, publié en janvier, la Commission européenne recommande que le Département du Commerce des États-Unis poursuive la sensibilisation des entreprises et mette en oeuvre des procédures de vérification de la conformité de celles qui se sont auto-certifiées ; elle demande aussi aux autorités américaines de respecter leur engagement de lui fournir des informations récentes et exhaustives sur des améliorations pouvant s'avérer pertinentes.
Sur l'âge du consentement des enfants, fixé à quinze ans par l'Assemblée nationale selon une approche mesurée qui s'inscrit dans l'une des marges de manoeuvre ouvertes par le règlement, la commission est restée neutre : le règlement prévoit une plage de treize à seize ans.
Quant à l'extension de l'action de groupe à la réparation pécuniaire, elle a rappelé qu'il s'agit d'une faculté prévue en droit européen pour d'autres actions de groupe et recommandé qu'elle soit plutôt envisagée au niveau européen et assortie de règles d'enregistrement renforcées des associations.
Je donne la parole à notre collègue Loïc Hervé, qui représente le Sénat à la CNIL.
Bravo pour ce rapport, qui met en exergue l'aspect politique de ce texte technique. Nous légiférons sous pression, vous l'avez dit. Si les gouvernements précédents avaient pris la mesure du travail à accomplir, nous ne nous verrions pas imposer un tel calendrier - ni un recours aux ordonnances. La France a été en avance, il y a quarante ans, quand l'informatique était à ses balbutiements, avec la création de la CNIL et de la Commission d'accès aux documents administratifs (CADA). La loi de 1978 et ses grands principes peuvent encore nous inspirer dans les bouleversements que nous traversons. Elle pose le triptyque liberté-sécurité-souveraineté. Liberté, car nos données personnelles, prolongement de notre corps et de notre vie, nous appartiennent, et le législateur doit les protéger. Sécurité, car ces données sont parfois sensibles et peuvent avoir de la valeur. Souveraineté, enfin, car les échanges de données internationaux doivent préserver les intérêts de notre pays et de l'Union européenne.
Ce règlement nous fait passer d'un paradigme administratif, régi par une logique d'autorisation, à un principe de responsabilisation des acteurs. Mais encore faut-ils que ceux-ci soient au courant ! Bien des élus locaux ignorent tout du sujet. Le régime des sanctions étant renforcé, nous devons veiller à accompagner les collectivités territoriales. Les associations d'élus et les services déconcentrés de l'État ne se saisissent de la question qu'aujourd'hui. Des mutualisations doivent être mises en place pour faire baisser le coût infligé aux collectivités territoriales.
Quant aux moyens de la CNIL, ils ne sont aucunement à la hauteur des missions qu'on songe à lui confier. Déjà, ses 200 collaborateurs peinent à faire face aux sollicitations dont ils font l'objet sur le RGPD. Vieille de quarante ans, elle devra désormais fonctionner en réseau avec ses homologues européennes ; il faut donc la doter de moyens équivalents.
Nous devons mettre de l'enthousiasme et de l'énergie à traiter ce sujet, même s'il semble très encadré par le calendrier et la procédure. Européen et numérique : deux raisons du désintérêt qui semble l'entourer. Pourtant, les enjeux sont nombreux, et nous sommes en retard. Nous avons des marges de manoeuvre, dans lesquelles nous devons nous insinuer. Le secrétaire d'État l'a dit : nous sommes tous intéressés à nos traces numériques. Le Sénat, chambre des libertés et représentant des collectivités territoriales, a une double raison de s'emparer du sujet. Il faudra muscler l'arsenal contre les entreprises, qui contreviendront à la loi. En créant la CNIL, nous avons été précurseurs et il nous faut rester à la pointe de ces avancées.
Ce dossier est complexe : il s'agit d'intégrer à notre droit des textes européens. Nous accueillons favorablement le renforcement des prérogatives de la CNIL, qui pourra saisir le Conseil d'État pour obtenir la suspension du transfert de données personnelles. L'abaissement de la majorité numérique à quinze ans nous semble satisfaisant. Nous veillerons à l'effectivité des droits d'information, de recours et de rectification et les sous-traitants devront être soumis aux mêmes obligations que les responsables de traitement. La lisibilité du texte de l'Assemblée n'est pas entièrement satisfaisante et notre rapporteur rendra certains articles plus intelligibles. Le recours à des ordonnances ultérieures trahit la précipitation du Gouvernement. Dommage ! Les amendements introduisant dans ce texte les collectivités territoriales sont bienvenus. Le groupe RDSE les votera.
Les fichiers touchés par les services de renseignement entrent directement dans le champ d'application de cette directive et ils n'y sont pas conformes. Le Gouvernement prétend que la sûreté de l'État et la défense ne relèvent pas du droit de l'Union européenne. C'est un argument fallacieux, et la directive devrait au contraire nous conduire à modifier la loi sur le renseignement de 2015.
Comment les petites collectivités territoriales pourront-elles faire face ? Quand la question s'était posée à propos des fichiers croisés, des règles spécifiques avaient été adoptées pour les communes de moins de 2 000 habitants. Pourquoi ne pas faire de même dans ce texte ?
Le sort réservé aux collectivités territoriales nous inquiète, car le règlement s'imposera à elles aussi dès le mois de mai. Madame le rapporteur a présenté deux pistes : les exonérer de certaines sanctions prévues à l'article 6 et les aider à financer et à gérer les outils devenus nécessaires. Nous n'avons que quelques jours pour trouver le moyen de financer ces mesures, dont j'espère qu'elles feront consensus au Sénat.
Sur le financement, si le Gouvernement trouve une idée géniale, nous saurons lui faire bon accueil ! À l'échelle nationale, ce sont plusieurs centaines de millions d'euros qu'il faut mobiliser. À tout le moins, le Sénat doit veiller à ce que les collectivités territoriales n'aient pas à assumer seules cette charge qui leur est imposée.
C'est un vrai privilège de travailler ainsi ensemble sur les questions européennes, quelles que soient nos étiquettes politiques. Hélas, le calendrier est serré : l'Assemblée nationale a reçu le texte en décembre, et nous-mêmes en février... Ce projet de loi a le mérite d'uniformiser et d'harmoniser notre droit avec celui de l'Union européenne mais, d'un point de vue légistique, c'est un galimatias improbable qui maintient des dispositions obsolètes de la loi de 1978 - loi que, par ailleurs, nous voulons conserver, car elle a fait de nous des pionniers en Europe - et négligeant d'exploiter les marges de manoeuvre qui nous sont laissées. Pas plus que les TPE-PME, les collectivités territoriales ne sont prises en compte. C'est catastrophique : l'Assemblée des départements de France nous indiquait qu'elle avait fait son travail, mais que personne d'autre ne se sentait concerné. Les petites communes reçoivent des devis à 3 000 euros par jour pour des formations ou des mises en conformité ! La CNIL fait ce qu'elle peut pour informer le public, mais personne n'a pris la mesure des investissements à effectuer : devoir d'alerte du responsable de traitement dans les 72 heures, devoir de prévenir toutes les personnes concernées, etc. Il est invraisemblable que la question des collectivités territoriales n'ait pas été abordée, comme si elles n'existaient pas ! Je souhaite qu'elles bénéficient du même régime que l'État, au nom de leur mission de service public et de leurs prérogatives de puissance publique : pas d'amendes de la CNIL, délai de deux ans pour la mise en oeuvre de l'action de groupe et accompagnement actif pour s'y préparer par la CNIL, pourquoi pas, par les préfets. Nous proposerons également une solution pour financer les nouveaux outils des collectivités territoriales, qui sera en lien direct avec le produit des amendes de la CNIL. Je vous propose ainsi de ne pas voter l'habilitation, qui témoigne d'un double mépris : pour le Parlement et pour les collectivités territoriales. Nous ne pouvons pas laisser ce sujet de côté, même si le public ne se sent pas, pour l'instant, concerné. « Nul n'est censé ignorer la loi ». Mais bien peu ont conscience des obligations qui vont s'appliquer !
Les fichiers mis en oeuvre par l'État qui intéressent la sûreté de l'État et la défense n'entrent absolument pas, madame Benbassa, dans le champ d'application de la directive : le droit de l'Union européenne leur est inapplicable.
EXAMEN DES AMENDEMENTS
Article 1er
Les amendements COM-28 et COM-27 ont le même objet, mais l'amendement COM-28 me semble mieux rédigé.
Mon amendement COM-28 répare l'oubli des collectivités territoriales dans ce texte.
L'amendement COM-28 est adopté. L'amendement COM-27 devient sans objet. L'amendement rédactionnel COM-29 est adopté.
Avis défavorable à l'amendement COM-23 tenons-nous en au RGPD, d'application directe.
L'amendement COM-23 n'est pas adopté.
Mon amendement COM-30 rétablit le principe selon lequel seuls les présidents des assemblées parlementaires peuvent consulter la CNIL. Celle-ci est débordée et répond déjà à de nombreuses consultations.
L'amendement COM-30 est adopté. L'amendement COM-15 devient sans objet. L'amendement de précision COM-31 est adopté, ainsi que l'amendement de cohérence rédactionnelle COM-32.
Article 1er bis
Mon amendement COM-33 supprime le formalisme rigide de la procédure de consultation de la CNIL, qui n'a pas lieu d'être calqué sur celui prévu pour le Conseil d'État.
L'amendement de suppression COM-33 est adopté.
Article 2
L'amendement rédactionnel COM-34 est adopté. L'amendement COM-16 devient sans objet, tout comme l'amendement COM-13.
Article 2 bis
Mon amendement COM-35 introduit de la souplesse dans l'organisation interne des travaux de la CNIL - en accord avec elle.
L'amendement COM-35 est adopté.
Article 4
L'amendement de clarification COM-36 est adopté.
Avis favorable à l'amendement COM-17 sous réserve d'un sous-amendement : je souhaite y ajouter les mots « à peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction ».
L'amendement COM-17 ainsi que le sous-amendement COM-91 sont adoptés.
Article 5
Mon amendement COM-37 donne à la CNIL la souplesse requise pour participer aux nouveaux mécanismes de coopération entre autorités européennes.
L'amendement COM-37 est adopté, ainsi que l'amendement de précision COM-38.
Article 6
Mon amendement COM-39 préserve les pouvoirs de sanction de la CNIL mais rétablit une gradation pédagogique dans l'enchaînement des mesures pouvant être prononcées.
L'amendement COM-39 est adopté.
Mon amendement COM-40 exonère les collectivités territoriales et leurs groupements, au même titre que l'État, de l'amende administrative.
L'amendement COM-40 est adopté. L'amendement rédactionnel COM-41 est adopté, ainsi que l'amendement de cohérence COM-42. Les amendements rédactionnels COM-43 et COM-44 et l'amendement d'harmonisation COM-45 sont adoptés.
Un grand nombre de responsables de traitement ne seront pas prêts au mois de mai. Mon amendement COM-47 propose que le produit des sanctions pécuniaires et des astreintes prononcées par la CNIL finance les actions destinées à les aider à se conformer à la nouvelle réglementation. L'argent de la protection des données doit aller à la protection des données.
L'amendement COM-47 est adopté. L'amendement de précision COM-48 rectifié est adopté.
Article 7
Si l'intention est louable, la liste présentée par les auteurs de l'amendement COM-25 pour les données dites « sensibles » diffèrerait sensiblement de celle résultant du RGDP. Or, l'objet de l'article 7 est justement d'harmoniser la loi Informatique et libertés avec le règlement. Mon avis est donc défavorable.
Je suis également, pour des raisons similaires, défavorable à l'amendement COM-18.
L'amendement COM-18 n'est pas adopté.
L'amendement COM-49 prend en compte le cas des prestataires et des stagiaires pour les traitements mis en oeuvre par les employeurs ou les administrations, qui portent sur des données biométriques nécessaires au contrôle de l'accès aux lieux de travail.
L'amendement COM-49 est adopté.
L'interdiction prévue par l'amendement COM-19 me paraît bien trop générale. Le souhait de prendre en considération des situations de handicap est évidemment louable mais cet amendement est satisfait par le droit en vigueur.
L'amendement COM-19 n'est pas adopté.
Article 9
L'amendement COM-50 rectifié de coordination et de précision est adopté.
Article 11
L'amendement COM-51 maintient le droit existant en matière d'autorisation des fichiers d'infractions pénales, de condamnations ou de mesures de sûreté non mis en oeuvre par l'État. Il précise également les conditions dans lesquelles des personnes morales de droit privé peuvent traiter de telles données.
L'amendement COM-51 est adopté.
L'amendement COM-52 prévoit l'anonymat des magistrats et des acteurs d'une procédure judiciaire, afin d'éviter toute atteinte à la liberté d'appréciation des juridictions. Ces dispositions avaient été votées par le Sénat en octobre dernier à l'initiative du président Bas, dans le cadre de l'open data des décisions de justice.
L'amendement COM-52 est adopté.
Article 12
L'amendement COM-87 corrigeant une erreur légistique est adopté.
Il est légitime que les services publics d'archives bénéficient d'un régime dérogatoire au droit commun de la protection des données personnelles. Toutefois, ces dérogations ne trouveront à s'appliquer que dans la mesure nécessaire à l'exercice de leurs missions de service public. Il paraît donc utile qu'un décret en Conseil d'État précise la portée de ces dérogations. Tel est l'objet de l'amendement COM-54.
L'amendement COM-54 est adopté.
Il ne m'apparaît pas justifié de déroger au droit à la rectification de données inexactes en ce qui concerne les traitements mis en oeuvre par les services publics d'archives, raison pour laquelle je vous propose d'adopter l'amendement COM-55.
L'amendement COM-55 est adopté.
L'amendement COM-53 prévoit, comme le Gouvernement l'avait initialement souhaité, qu'un décret en Conseil d'État puisse étendre ces dérogations, en tout ou partie, aux autres traitements mis en oeuvre à des fins de recherche scientifique ou historique, statistiques ou archivistiques d'intérêt public.
L'amendement COM-53 est adopté.
Article 13
L'amendement rédactionnel COM-56 est adopté.
Je propose à ses auteurs de retirer l'amendement COM-1.
L'amendement COM-1 est retiré.
Je suis défavorable à l'amendement COM-26.
L'amendement COM-26 n'est pas adopté.
Les amendements rédactionnel COM-57 et de coordination COM-58 sont adoptés.
Article 14 A
Je vous propose, par l'amendement de suppression COM-59, de maintenir à seize ans l'âge du consentement autonome d'un mineur pour le traitement de ses données personnelles par certains services en ligne. Nous manquons en effet de données précises sur les pratiques et les risques d'Internet en la matière et souhaiterions être mieux informés sur ce sujet, c'est aussi le but de la mission menée par notre collègue Catherine Morin-Desailly.
Le RGPD fixe par défaut l'âge du consentement à seize ans, en laissant aux États membres la possibilité de l'abaisser jusqu'à treize ans. L'Allemagne et le Luxembourg ont ainsi choisi seize ans, la Grande-Bretagne, treize ans. La France s'était prononcée en faveur de seize ans pendant la négociation du RGPD et lors du dépôt du projet de loi initial. Suivons notre premier choix, quitte à le modifier lorsque nous disposerons d'éléments plus précis.
Soyons clairs : cet âge correspond à celui auquel un jeune peut consentir lui-même au traitement de ses données personnelles sur Internet. En réalité, les jeunes ont une grande habitude d'aller sur Internet, où la vérification des limites d'âge est quelque peu bancale. Cette disposition sans grande portée pratique ressort plutôt de l'ordre du symbole, et rappelle la responsabilité des parents en la matière.
L'âge de seize ans a également l'avantage de correspondre à celui de l'émancipation éventuelle d'un mineur.
Cette disposition remet-elle en cause ou modifie-t-elle d'une quelconque façon le droit à l'oubli sur Internet ?
Nullement. Le sujet du consentement abordé ici est très différent. Seize ans est l'âge par défaut proposé par le RGPD.
Il existe toujours de bonnes raisons de choisir tel ou tel âge. En réalité, de nombreux jeunes ouvrent, avec une fausse date de naissance, un compte Facebook avant l'âge de treize ans. Je partage donc la position de sagesse de notre rapporteur.
Tout à fait !
Les amendements identiques de suppression COM-59 et COM-11 sont adoptés.
Article 14
L'amendement COM-60 procède à une réécriture globale de l'article 14 relatif aux décisions prises sur le fondement d'algorithmes. Le projet de loi autorise les décisions administratives individuelles prises sur le seul fondement d'un traitement automatisé des données, jusqu'ici prohibées. Sans méconnaitre les bénéfices liés à l'usage d'algorithmes par l'administration, il convient de l'encadrer strictement. En effet, une décision automatisée risque d'être aveugle à des circonstances particulières de l'espèce ; le recours aux algorithmes doit donc être réservé à des cas qui n'appellent aucun pouvoir d'appréciation. Un deuxième risque est lié à l'essor de l'intelligence artificielle, qui pourrait conduire à ce que des décisions administratives soient prises sur le fondement de critères que nul ne connaîtrait, l'algorithme les ayant lui-même déterminés et pondérés ; c'est le phénomène des « boîtes noires ». Un risque existe enfin que la programmation des algorithmes destinés à prendre des décisions individuelles n'aboutisse à contourner les règles de fond et de forme qui encadrent l'exercice du pouvoir réglementaire. Ainsi, dans la procédure dite « Admission post-bac », les candidatures des lycéens dans les licences universitaires étaient classées suivant des critères reposant sur une base légale fragile, qui n'avaient jamais été explicités dans un texte réglementaire et qui n'étaient même pas rendus publics. On ne saurait admettre que l'administration se défausse ainsi de ses responsabilités sur la machine, en jouant de la complexité technique et de la réputation d'infaillibilité des automates pour masquer ses propres choix.
Pour parer à ce triple risque, je vous propose de n'autoriser les décisions administratives individuelles prises sur le seul fondement de traitements automatisés que lorsque ces derniers ont pour objet d'appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique sont établies sur un autre fondement qu'un tel traitement.
Par ailleurs, la loi du 7 octobre 2016 pour une République numérique a imposé à l'administration, lorsqu'elle prend une décision individuelle sur le fondement d'un traitement algorithmique, d'en faire mention sur le texte de la décision. Or, il semble que certaines administrations rechignent à se conformer à cette nouvelle obligation de transparence... Afin de les y inciter, je vous propose que le non-respect de cette formalité soit une cause de nullité de la décision.
Je vous propose enfin de corriger une première entorse aux règles de publicité des algorithmes employés par l'administration pour fonder des décisions individuelles, issue d'un amendement du Gouvernement à la loi du 8 mars 2018 relative à l'orientation et à la réussite des étudiants. Cet amendement, déposé tardivement en séance publique au Sénat sans que notre commission de la culture ait pu se prononcer, concerne les algorithmes qu'emploieront les établissements d'enseignement supérieur pour classer les candidatures qu'ils auront reçues. Dans l'éventualité où ces algorithmes conduiraient à accepter ou à rejeter des dossiers sans examen, il n'y a aucune raison que ces établissements ne respectent pas les obligations de transparence prévues par le code des relations entre le public et l'administration. La commission de la culture soutient ma proposition.
Cet amendement est particulièrement important. Je souscris pleinement à l'intention de notre rapporteur, mais je m'interroge sur les dérogations prévues. En réalité, dans la mesure où une décision administrative peut toujours faire l'objet d'interprétations s'agissant de cas particuliers, ces dérogations à l'interdiction des algorithmes devraient être supprimées.
L'administration utilise de plus en plus fréquemment les algorithmes. Mon objectif est d'encadrer les plus dangereux, les fameuses « boîtes noires », mais d'autres - je pense à ceux utilisés par l'administration fiscale - ne posent guère de difficulté. Je ne crois pas très crédible de supprimer les dérogations, compte tenu de l'évolution du fonctionnement de nos administrations et du contexte européen.
Lorsque les algorithmes ne sont qu'un outil, leur utilisation ne me choque pas. Mais ils ne doivent en aucun cas fonder une décision administrative. Un peu comme dans le métro, il est toujours mieux d'avoir un véritable conducteur à bord !
Le dispositif que je vous propose limite l'utilisation d'algorithmes aux cas où l'administration ne dispose d'aucune marge d'appréciation pour prendre une décision individuelle, à l'instar de ceux dont use l'administration fiscale pour calculer l'impôt.
L'amendement COM-60 est adopté. L'amendement COM-20 devient sans objet.
Article 14 bis
Les amendements identiques de coordination COM-61 et COM-12 sont adoptés.
Article 15
Parce qu'il est satisfait par le droit en vigueur, je propose à ses auteurs de retirer l'amendement COM-2.
L'amendement COM-2 est retiré.
Article additionnel avant l'article 16 A
L'amendement COM-3 prévoit que l'introduction d'une action de groupe peut donner lieu à une médiation pour rechercher une solution amiable au litige. Il est satisfait par le droit en vigueur.
L'amendement COM-3 est retiré.
Article 16 A
L'amendement de précision COM-62 est adopté.
Afin que la CNIL puisse présenter ses observations devant une juridiction saisie d'une action de groupe, il convient qu'elle soit informée de l'introduction de l'instance par le demandeur. Tel est l'objet de l'amendement COM-63.
L'amendement COM-63 est adopté.
Il convient de laisser aux responsables de traitement, et je pense notamment aux collectivités territoriales les plus petites ainsi qu'aux TPE-PME, le temps de se conformer aux nouvelles obligations issues du RGPD. Il ne faut pas les exposer dès son entrée en vigueur au risque d'affronter une action de groupe en réparation des préjudices causés par leurs éventuels manquements. Je vous propose donc, avec l'amendement COM-64, de prévoir un délai de deux ans.
Les associations d'élus se sont emparées du sujet. Les organisations professionnelles, notamment celles qui oeuvrent auprès des TPE-PME, devraient également mettre à profit le délai qui leur est ici offert. Il ne faudrait pas que le même problème se pose encore dans deux ans...
Effectivement ! Nous portons une attention particulière aux collectivités territoriales et à leurs groupements mais les difficultés sont identiques pour les TPE-PME : leurs obligations sont lourdes et le risque de sanction, réel, quand bien même le projet a été imaginé pour contraindre les grands groupes. Le Gouvernement et la CNIL doivent prendre des engagements pour informer et accompagner ces acteurs.
L'amendement COM-64 est adopté.
Afin d'éviter la multiplication des recours abusifs, l'amendement COM-65 prévoit un agrément préalable des associations ayant qualité pour introduire une action de groupe en matière de données personnelles, comme cela existe déjà dans les domaines de la consommation, de l'environnement ou de la santé.
L'amendement COM-65 est adopté.
Article 16
L'amendement de conséquence COM-66 met en conformité l'article 16 avec le droit européen, qui ne permet pas que le mécanisme de mandatement soit réservé aux associations agréées.
L'amendement COM-66 est adopté.
Article 17
L'amendement rédactionnel COM-67 est adopté, ainsi que l'amendement de coordination COM-90.
Article additionnel après l'article 17
L'amendement COM-14 de Claude Raynal garantit que les utilisateurs d'un terminal aient le choix de services équivalents offrant de meilleures garanties de protection des données personnelles, lorsque des services de communication au public en ligne sont préinstallés.
Il poursuit un objectif louable partagé par nombre d'entre nous. Néanmoins, il s'agit avant tout d'un problème de concurrence et de protection industrielle : le droit des données personnelles ne constitue pas l'outil idoine pour y remédier ; l'Assemblée nationale s'est d'ailleurs heurtée à cette limite. Il pourrait en revanche opportunément être traité au niveau européen dans le cadre de la négociation du prochain règlement e-privacy. Je n'y suis pas, à ce stade, favorable.
Je note que les véhicules législatifs sont rares pour traiter cette question, déjà abordée par la présidente de la commission de la culture, Catherine Morin-Desailly, lors des débats relatifs à la loi pour une République numérique. Un débat aura à nouveau lieu en séance publique dans le cadre du présent projet de loi car le sujet est d'importance : Google représente l'outil par défaut sur de nombreux ordinateurs et terminaux mobiles, alors qu'il collecte et monétise les données personnelles à tout va. Qwant propose, en revanche, une démarche plus éthique et respectueuse de la protection des libertés individuelles.
Je partage certes l'analyse juridique de notre rapporteur, mais nous devons faire pression sur le Gouvernement à chaque occasion qui nous est offerte. Le ministère de la justice semble ouvert à cette question. Agissons car l'enjeu est d'importance et les véhicules législatifs trop rares !
Je souscris au plaidoyer de Loïc Hervé. Laissons-nous effectivement la possibilité d'aborder ce sujet en séance publique et de convaincre le Gouvernement !
Vous avez qualifié, madame le rapporteur, l'objectif poursuivi par cet amendement de « louable ». Peut-être pourriez-vous faire évoluer votre position à la lumière de notre débat ?
Soit ! Adoptons cet amendement sous réserve de modifications légistiques mais il conviendra de retravailler sa rédaction lors de la séance publique.
L'amendement COM-14 est adopté avec modifications.
Article 19
Les amendements rédactionnels, de précision et de coordination COM-68, COM-70, COM-71, COM-72, COM-75, COM-76 et COM-77 sont adoptés.
Les amendements COM-5, COM-6 et COM-10 sont retirés.
Conformément aux possibilités offertes par la directive, l'amendement COM-69 rectifié maintient le régime actuel d'autorisation par la CNIL pour les fichiers en matière pénale. Pour des données aussi sensibles, il semble délicat de se passer d'autorisation préalable.
Il s'agit effectivement d'une tradition française !
L'amendement COM-69 rectifié est adopté.
Je suis favorable à l'amendement COM-4 rectifié.
L'amendement COM-4 rectifié est adopté.
L'amendement COM-74 supprime la mention « dans la mesure du possible » relative à l'obligation de vérifier la qualité des données à caractère personnel avant leur transmission à un tiers.
L'amendement COM-74 est adopté.
Je suis favorable à l'amendement COM-21.
L'amendement COM-21 est adopté.
Les dispositions envisagées par l'amendement COM-7 ne sont pas prévues par la directive du 27 avril 2017 : elles s'apparenteraient donc à une sur-transposition, raison pour laquelle j'y suis défavorable.
L'amendement COM-7 n'est pas adopté.
Je suis favorable aux amendements COM-8 et COM-9 relatifs au délai de rectification et d'effacement des données inexactes.
Les amendements COM-8 et COM-9 sont adoptés.
Articles additionnels après l'article 19
L'amendement COM-78 rectifié crée, par prélèvement sur les recettes de l'État, une dotation pour la protection des données personnelles, dont le montant par habitant serait décroissant à mesure que la population augmente. L'objectif de cette mesure est de permettre aux collectivités territoriales et à leurs groupements de faire face aux nouvelles obligations qui leur incombent en tant que responsables de traitement et qui auront un coût élevé, insupportable pour beaucoup de petites communes et intercommunalités. À titre d'illustration, un département s'est récemment vu facturer, par un organisme privé, 28 000 euros pour la livraison de fiches techniques et une revue de conformité sur les seuls fichiers relatifs aux politiques de réinsertion et à l'aide sociale à l'enfance.
Le dispositif proposé par notre rapporteur est astucieux... et recevable !
Ce dispositif ne risque-t-il pas de conduire à une diminution des concours financiers de l'État aux collectivités, dont on nous a annoncé la stabilisation pour les trois prochaines années ?
Comment avez-vous réussi à passer sous les fourches caudines de l'article 40 de la Constitution ?
Il ne faut pas confondre les prélèvements sur recettes, qui peuvent être prévus à condition d'être gagés, et les augmentations de charges, toujours interdites. Il s'agit toutefois essentiellement d'un amendement d'appel...
Le régime juridique des amendements parlementaires sur les recettes diffère effectivement de celui applicable aux charges.
L'amendement COM-78 rectifié est adopté.
L'amendement COM-79 a pour objet de faciliter la mutualisation des services support des collectivités territoriales et de leurs groupements, en particulier s'agissant de leurs services informatiques. Ces structures sont en effet susceptibles de fournir un délégué à la protection des données commun à plusieurs collectivités ou organismes publics.
Cette proposition, qui favorise la mutualisation des moyens des différentes structures, est essentielle ! Agences départementales, centres de gestion, associations départementales des maires..., les possibilités sont nombreuses. Les collectivités territoriales voient affluer les offres de prestataires privés, qu'il ne faut pas exclure par principe, mais la mutualisation est souvent plus adaptée.
Pourquoi ces prestations ne seraient-elles pas soumises au droit des marchés publics ?
Les prestations de services internes à la sphère publique, dits « in house », sont en grande partie soustraites aux obligations de publicité et de mise en concurrence.
Les critères de la prestation intégrée étant fixés par le droit européen, j'attire votre attention sur le fait que les prestations offertes par des associations d'élus en sont exclues.
Les associations départementales de maires jouent souvent un rôle majeur en matière d'information des élus, mais elles n'entrent effectivement pas dans le champ de la proposition de notre rapporteur.
L'amendement COM-79 est adopté.
Article 20
Le Gouvernement doit promulguer ce texte d'ici le mois de mai, mais son travail est inachevé et manque cruellement de lisibilité. Pour y remédier, il se propose d'intervenir légistiquement par voie d'ordonnance. Pourtant, il disposait du temps nécessaire à l'élaboration d'un texte convenable.
Pour signifier notre désapprobation concernant ces méthodes peu respectueuses du Parlement, l'amendement COM-89 supprime l'habilitation.
J'y suis favorable. Nous devons marquer le coup face à tant d'impréparation, même si la France, traditionnellement très en retard en matière de transposition, progresse dans ce domaine. En outre, le texte d'une habilitation doit être clair et précis, ce qui n'est pas ici le cas.
Nous devons inciter le Gouvernement à nous présenter des garanties, notamment au bénéfice des collectivités territoriales.
Je comprends qu'il s'agit là d'un acte politique dans un contexte de débat sur l'usage des ordonnances, mais je ne suis pas opposé à cet outil lorsqu'il s'agit de codification.
Dans le cas présent, ce ne sont pas les ordonnances qui posent problème, mais la raison pour laquelle le Gouvernement souhaite y avoir recours : il n'a pas su tenir les délais ! Quel mépris pour le travail du Parlement !
Une codification peut évidemment être réalisée par ordonnance, mais, alors que les collectivités territoriales et les TPE-PME sont directement concernées par le texte, rien n'a été fait en amont auprès d'elles et le Parlement a été saisi au dernier moment. Cette situation n'est pas acceptable. Elle suscite une vive inquiétude quant au contenu de l'ordonnance, qui devrait être prise à droit constant, respecter les collectivités et garantir l'applicabilité des mesures dans les outre-mer.
Au-delà de la codification, l'ordonnance doit procéder à un toilettage complet de la loi de 1978. L'exigence de droit constant n'est nullement mentionnée à ce stade.
La formulation générale s'agissant du droit constant autorise le rédacteur à réaliser les corrections indispensables en droit européen et à supprimer les dispositions obsolètes. Il faut reprendre cette formule, d'autant que la loi de 1978 réformée en 2004 par le droit européen de la protection des données est d'excellente qualité.
L'amendement de suppression COM-89 est adopté et l'amendement COM-22 devient sans objet.
Article 20 bis
Je vous remercie ! La loi pour une République numérique prévoyait la portabilité des données non personnelles et leur possible récupération par les consommateurs. L'article 20 bis, introduit par l'Assemblée nationale, tend à supprimer cette disposition. Mon amendement a pour objet de la maintenir car elle permet de limiter la puissance des plateformes au profit des consommateurs.
L'amendement de suppression COM-24 est adopté.
Article 21
Les amendements de coordination et de cohérence COM-88 et COM-80 sont adopté.
Article 23
L'amendement COM-81 supprimant l'allongement du délai de réponse et l'amendement COM-82 de clarification sont adoptés.
L'amendement COM-83 vise à offrir les mêmes droits aux personnes relaxées qu'à celles bénéficiant d'un classement sans suite pour insuffisance de charges.
Pourquoi devrait-on limiter l'effacement des données personnelles à certains types de non-lieu ou de décisions de classement sans suite ?
Je vous propose de modifier la rédaction de mon amendement pour prendre en considération votre remarque.
Pourquoi, en outre, prévoir une exception à cet effacement au bon vouloir du procureur de la République ?
Le procureur peut souhaiter que les informations sur un individu soient conservées dans l'éventualité d'enquêtes futures.
L'amendement COM-83 rectifié est adopté.
L'amendement COM-84 clarifie le fait que, pour les personnes condamnées, la demande d'effacement ou de rectification peut être formée lorsque ne figure plus aucune mention de nature pénale dans le bulletin n° 2 du casier judiciaire en lien avec la demande d'effacement. En effet, le casier judiciaire mentionne également des décisions disciplinaires, commerciales ou administratives, qui n'ont pas vocation à empêcher une personne de demander l'effacement des données relatives aux infractions pénales.
L'amendement COM-84 est adopté.
Article 23 bis
L'amendement de coordination COM-85 est adopté.
Article 24
Par cohérence, l'amendement COM-86 reporte de deux ans l'entrée en vigueur de l'article 16 A du projet de loi relatif à l'action de groupe en réparation de préjudices subis en matière de données personnelles.
L'amendement COM-86 est adopté.
Le projet de loi est adopté dans la rédaction issue des travaux de la commission.
Le sort des amendements examinés par la commission est retracé dans le tableau suivant :
La réunion est close à 11 heures.