Intervention de Esther Benbassa

L’alinéa 11 de l’article 1er prévoit que la CNIL établisse et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel, et de régir les traitements de données biométriques, génétiques et de santé.

Dans ce cadre, elle peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé, conformément à l’article 9 du règlement européen, et des données relatives aux infractions pénales, conformément à l’article 10 du même règlement.

L’alinéa 11 exclut ces mesures supplémentaires pour les traitements mis en œuvre pour le compte de l’État agissant dans l’exercice de ses prérogatives de puissance publique.

Nous ne partageons pas la philosophie de cette exception et considérons au contraire que, compte tenu de la nécessité d’encadrer strictement le traitement des données sensibles, il convient de la supprimer.

La CNIL s’est d’ailleurs exprimée en ce sens dans sa délibération du 30 novembre 2017, regrettant notamment que les mesures techniques et organisationnelles supplémentaires qu’elle prescrirait pour le traitement de ces données « ne puissent concerner les traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice même des prérogatives de puissance publique, alors que le besoin de cadrage du traitement de certaines données n’y est pas moins important ».