Interventions sur "CNIL" de Sophie Joissains

La commission estime que cette mesure ne porterait pas au fond. Si la CNIL tient à se réorganiser – elle engagera peut-être une réflexion en ce sens dans quelque temps, parce qu’elle aura une surcharge de travail importante –, elle proposera d’elle-même ce changement de nom, si elle le juge souhaitable. Je demande donc le retrait de l’amendement, dont je ne vois pas l’intérêt de fond.

Je demande le retrait de cet amendement relatif aux pouvoirs de contrôle de la CNIL. En effet, il vise à étendre de manière plus explicite l’applicabilité du régime des secrets protégés aux données stockées et gérées par un sous-traitant du responsable de traitement. Or il me semble entièrement satisfait par l’état du droit qui, d’une part, prévoit l’opposabilité de trois types de secrets protégés, le secret professionnel des avocats, les sources journalistiques et le secret mé...

L’amendement n° 125 tend à prévoir que seul un médecin peut requérir la communication de données médicales individuelles lors d’un contrôle de la CNIL. Le texte du projet de loi est légèrement moins strict : il prévoit dans un tel cas que la communication des données ne pourra désormais se faire que « sous l’autorité et en présence d’un médecin ». Comme le précise l’avis du Conseil d’État, qui est à l’origine de la rédaction retenue, « l’agent menant le contrôle sera placé sous la responsabilité fonctionnelle du médecin, qui ne réalisera pas n...

L’avis de la commission est défavorable, même si je comprends très bien l’intention de mes collègues sur le sujet. L’amendement vise à renforcer des contrôles de la CNIL et de la CNCTR sur les fichiers de renseignement des services spécialisés. Néanmoins, au regard de leur sensibilité, ces fichiers ne peuvent justement pas faire l’objet d’un tel contrôle de la part de la CNIL. En outre, ce contrôle ne ferait qu’affaiblir nos services de renseignement et risquerait de dissuader nos partenaires de nous transmettre des informations. J’ajoute qu’un amendement simila...

La commission demande le retrait de l’amendement. Son auteur prévoit que les contrôles effectués par la CNIL au sein des juridictions se fassent désormais sous l’autorité et en présence d’un magistrat. La rédaction du dispositif de l’amendement est un peu ambiguë. Il n’est pas précisé si le magistrat ainsi chargé du contrôle sera membre de la CNIL ou bien de la juridiction concernée par le contrôle. Dans le premier cas, cela pourrait occasionner des difficultés opérationnelles, car la CNIL devrait alor...

Le présent amendement vise à rendre l’enchaînement des mesures correctrices dont dispose la CNIL plus lisible en rétablissant un ordre logique dans le fil du texte : tout d’abord, un avertissement en cas de simple risque de manquement, puis une mise en demeure en cas de manquement encore susceptible de faire l’objet d’une mise en conformité et, enfin, une procédure de sanction. Après avoir consulté la CNIL, qui souhaitait conserver une marge d’appréciation et préserver les dispositifs de co...

La commission demande le retrait du présent amendement, qui tend à punir le fait d’entraver l’action de la CNIL d’un an d’emprisonnement et d’une amende ne pouvant excéder 20 millions d’euros ou, s’agissant d’une entreprise, de 4 % du chiffre d’affaires annuel mondial. La rédaction choisie crée une sorte de confusion entre les amendes pénales et les sanctions administratives.

Nous demandons également le retrait de cet amendement, car la même confusion est créée entre sanctions administratives et pénales. Les sanctions administratives que la CNIL pourra imposer doivent être bien distinguées des sanctions prononcées par les juridictions pénales. Le RGPD renvoie au droit des États membres sur ce point et, à ce titre, le code pénal réprime déjà plusieurs infractions sanctionnant la méconnaissance de la loi Informatique et libertés. L’échelle des peines et l’architecture globale des sanctions pénales mériteraient sûrement d’être actualisées,...

...ns pénales, d’enquêtes, de poursuites ou d’exécution des sanctions pénales. Elle doit être transposée avant le 6 mai 2018. Le projet de loi qu’il nous revient d’examiner a donc pour but d’adapter la loi de 1978 – choix très symbolique – au règlement général, de tirer parti des marges de manœuvre nationales qu’il autorise et de transposer la directive sectorielle. À cette fin, les missions de la CNIL sont élargies et ses pouvoirs renforcés. Le traitement des données dites sensibles reste très encadré et des régimes spécifiques plus protecteurs conservant des formalités préalables restent prévus pour certains traitements, notamment ceux qui visent le numéro de sécurité sociale, des données biométriques ou génétiques, des condamnations pénales, des archives ou des données de santé. L’Assemblé...

...droit, il me semble que rien n’est prévu spécifiquement pour les autoriser à mettre en œuvre des traitements de données biométriques. Autoriser de tels traitements demanderait, surtout pour des acteurs privés, de robustes garanties que cet amendement ne propose pas. Nous n’avons pas assez de recul sur la portée d’une telle dérogation pour l’autoriser sans mener une réflexion plus approfondie. La CNIL, qui a été consultée, souligne la complexité du sujet et recommande la prudence.

...lus strictement que les fichiers mis en œuvre par des personnes physiques ou morales. C’est paradoxal ! A fortiori en matière pénale, les risques pour les personnes, notamment d’atteinte à la vie privée et de négation du droit à l’oubli, peuvent provenir de l’utilisation à des fins privées de telles données. Cet amendement vise ensuite à supprimer le régime d’autorisation préalable par la CNIL des fichiers mis en œuvre en matière pénale. Il s’agit, non d’une transposition, mais du droit en vigueur. Je rappelle que, selon le considérant 19 du règlement, « les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques » quand il s’agit de maintenir un niveau élevé d’exigences en matière de protection des données personnelles. Le règlement n’impose aucunemen...

...uet européen de protection des données personnelles, qui se compose d'un règlement général sur la protection des données (RGPD) et d'une directive spécifique aux traitements mis en oeuvre en matière policière et judiciaire. Ces sujets ne sont pas inconnus de notre commission, qui a la chance de compter parmi ses membres un commissaire de la Commission nationale de l'informatique et des libertés (CNIL), Loïc Hervé. De façon générale, le Sénat s'est distingué ces dernières années en étant particulièrement actif sur ces questions. Il a d'abord agi au niveau européen. Saluons, à ce propos, le travail mené par notre collègue Simon Sutour, au sein de la commission des affaires européennes, sur l'orientation et les principes directeurs du règlement européen, puis à la commission des lois, où il a é...

...ges de manoeuvre qui nous sont laissées. Pas plus que les TPE-PME, les collectivités territoriales ne sont prises en compte. C'est catastrophique : l'Assemblée des départements de France nous indiquait qu'elle avait fait son travail, mais que personne d'autre ne se sentait concerné. Les petites communes reçoivent des devis à 3 000 euros par jour pour des formations ou des mises en conformité ! La CNIL fait ce qu'elle peut pour informer le public, mais personne n'a pris la mesure des investissements à effectuer : devoir d'alerte du responsable de traitement dans les 72 heures, devoir de prévenir toutes les personnes concernées, etc. Il est invraisemblable que la question des collectivités territoriales n'ait pas été abordée, comme si elles n'existaient pas ! Je souhaite qu'elles bénéficient du ...

...toriales dans ce texte. L'amendement COM-28 est adopté. L'amendement COM-27 devient sans objet. L'amendement rédactionnel COM-29 est adopté. Avis défavorable à l'amendement COM-23 tenons-nous en au RGPD, d'application directe. L'amendement COM-23 n'est pas adopté. Mon amendement COM-30 rétablit le principe selon lequel seuls les présidents des assemblées parlementaires peuvent consulter la CNIL. Celle-ci est débordée et répond déjà à de nombreuses consultations. L'amendement COM-30 est adopté. L'amendement COM-15 devient sans objet. L'amendement de précision COM-31 est adopté, ainsi que l'amendement de cohérence rédactionnelle COM-32.

Mon amendement COM-33 supprime le formalisme rigide de la procédure de consultation de la CNIL, qui n'a pas lieu d'être calqué sur celui prévu pour le Conseil d'État. L'amendement de suppression COM-33 est adopté.

Mon amendement COM-35 introduit de la souplesse dans l'organisation interne des travaux de la CNIL - en accord avec elle. L'amendement COM-35 est adopté.

Mon amendement COM-37 donne à la CNIL la souplesse requise pour participer aux nouveaux mécanismes de coopération entre autorités européennes. L'amendement COM-37 est adopté, ainsi que l'amendement de précision COM-38.

Mon amendement COM-39 préserve les pouvoirs de sanction de la CNIL mais rétablit une gradation pédagogique dans l'enchaînement des mesures pouvant être prononcées. L'amendement COM-39 est adopté. Mon amendement COM-40 exonère les collectivités territoriales et leurs groupements, au même titre que l'État, de l'amende administrative. L'amendement COM-40 est adopté. L'amendement rédactionnel COM-41 est adopté, ainsi que l'amendement de cohérence COM-42. Les am...

Afin que la CNIL puisse présenter ses observations devant une juridiction saisie d'une action de groupe, il convient qu'elle soit informée de l'introduction de l'instance par le demandeur. Tel est l'objet de l'amendement COM-63. L'amendement COM-63 est adopté. Il convient de laisser aux responsables de traitement, et je pense notamment aux collectivités territoriales les plus petites ainsi qu'aux TPE-PME, le t...

Conformément aux possibilités offertes par la directive, l'amendement COM-69 rectifié maintient le régime actuel d'autorisation par la CNIL pour les fichiers en matière pénale. Pour des données aussi sensibles, il semble délicat de se passer d'autorisation préalable.