Interventions sur "responsable" de Sophie Joissains

Il y a une légère confusion de la part des auteurs de l’amendement, puisqu’il s’agit ici non pas de l’action de groupe, mais de l’action individuelle par mandataire. L’amendement vise à permettre à la CNIL d’imposer à un responsable de traitement dont elle a constaté un manquement aux règles relatives à la protection des données personnelles de rembourser à l’association ou à l’organisation mandatée les frais qu’elle a engagés. La commission ne peut y être favorable, pour plusieurs raisons : d’une part, la CNIL n’est pas une juridiction, susceptible de condamner aux dépens ; d’autre part, l’examen par la CNIL d’une réclamat...

Cet amendement tend à revenir sur l’obligation, pour les responsables de traitement, de distinguer les données en fonction de la qualité des personnes concernées – victimes, tiers, mis en cause. Pourtant, les durées de conservation et même les droits diffèrent en fonction de la qualité de ces personnes, selon qu’elles sont victimes ou mises en cause. Il semble donc évident de prévoir que ces fichiers doivent rigoureusement distinguer la qualité de ces personnes. ...

Cet amendement tend à instaurer, en matière pénale, pour les traitements concernés par la directive, un droit à l’effacement des données biométriques légalement stockées sur des serveurs distants. De surcroît, le responsable de traitement devrait pouvoir les effacer dans un délai de quarante-huit heures. Je comprends très bien l’intention qui sous-tend cet amendement, mais je ne suis pas sûre que ce délai soit réaliste. Et sur quel principe fonder ce droit à l’effacement de données légalement collectées et traitées ? En tout état de cause, il ne peut y avoir un droit généralisé à l’effacement des données biométrique...

... ne peuvent être créés que par un décret en Conseil d’État pris après avis de la CNIL. Ils restent ainsi soumis à un régime plus strict d’autorisation préalable, en raison de leur caractère particulièrement sensible. La commission a donc émis un avis défavorable. Quant à l’amendement n° 30, il vise à exempter les collectivités territoriales des garanties spécifiques que la CNIL peut imposer aux responsables de traitements de données biométriques, génétiques ou de santé. Cet amendement va beaucoup trop loin. Il s’agit de données particulièrement sensibles de nos concitoyens et, dans ce domaine, l’action de la CNIL est singulièrement la bienvenue. N’oublions pas que les règles de sécurité exigées par la CNIL concernant les données biométriques, génétiques et de santé sont aussi là pour protéger les...

Cet amendement pose problème, car, si le délégué à la protection des données a, d’une certaine manière, une fonction de vigie, il a aussi une fonction de confiance vis-à-vis du responsable de traitement. Or le statut de lanceur d’alerte n’est pas compatible avec celui d’avocat. Le DPO étant responsable, il veillera à remplir sa mission au mieux ; mais lui donner un statut de lanceur d’alerte me paraît difficile, compte tenu de la relation de confiance partagée qu’il doit entretenir avec le responsable de traitement. Je demande donc le retrait de l’amendement, et j’y serai défavor...

...a CNIL. Son adoption permettrait à la formation plénière de la commission de déléguer au président ou au vice-président délégué certaines décisions touchant aux nouvelles obligations de notification des violations de données. Conformément à l’article 34 du RGPD, la CNIL devra recevoir ces notifications et examiner si la violation est susceptible d’engendrer un risque élevé, afin soit d’exiger du responsable de traitement de communiquer cette violation aux personnes concernées, soit de décider que cette communication n’est pas nécessaire. Les services de la CNIL ont mis en avant auprès de votre rapporteur les chiffres des Pays-Bas, où cette obligation de notification existe déjà en droit positif : 6 500 notifications par an, dans un pays bien plus petit que la France. Il convient d’aider la CNIL à m...

Je demande le retrait de cet amendement relatif aux pouvoirs de contrôle de la CNIL. En effet, il vise à étendre de manière plus explicite l’applicabilité du régime des secrets protégés aux données stockées et gérées par un sous-traitant du responsable de traitement. Or il me semble entièrement satisfait par l’état du droit qui, d’une part, prévoit l’opposabilité de trois types de secrets protégés, le secret professionnel des avocats, les sources journalistiques et le secret médical et, d’autre part, ne module pas l’exercice des pouvoirs des agents de la CNIL en fonction du type de stockage choisi par le responsable de traitement.

Au critère du lieu de résidence de la personne concernée par le traitement des données, il entend substituer plutôt le critère du lieu d’établissement du responsable de traitement. Ce changement est contraire à la position de la commission, qui a maintenu le critère de résidence. Comme le note justement l’étude d’impact du projet de loi, le « critère de l’établissement » aurait certes pour avantage premier de permettre au responsable de traitement de n’appliquer qu’un seul droit – cela permettrait de réduire certaines charges administratives et diminuerait l...

La commission sollicite le retrait de cet amendement, parce qu’il est en partie satisfait par l’article 13 du règlement général sur la protection des données, qui définit de façon exhaustive les obligations de transparence en faveur des personnes dont les données sont l’objet de traitement, notamment l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement, les destinataires ou les catégories de destinataires des données. Cet amendement prévoit en outre des obligations supplémentaires qui ne sont pas du tout prévues par le RGPD et auxquelles je ne peux donc être favorable.