Interventions sur "traitement" de Sophie Joissains

L'amendement n° 6 rectifié bis interdit le traitement des données à caractère personnel collectées dans le cadre de l'utilisation de services numériques au sein de l'Éducation nationale. Certes, l'intention est bonne, néanmoins j'en demanderai le retrait ou, à défaut, émettrai un avis défavorable.

Je suis aussi défavorable à l'amendement n° 15, qui précise sans nécessité les conditions de recueil du consentement en cas de traitement de données dans le domaine de la santé à fins de recherche. Il a déjà été examiné en première lecture.

J'ai expliqué ce matin, en séance, pourquoi la commission avait maintenu à 16 ans l'âge du consentement au traitement de données pour les mineurs, tout en demandant un véritable débat en vue de l'instauration d'un régime protecteur des mineurs. Demande de retrait ou avis défavorable aux amendements n° 7 rectifié, 9 rectifié bis et 8 rectifié, qui sont partiellement satisfaits.

L'amendement n°° 13 supprime l'agrément préalable des associations habilitées à introduire une action de groupe en matière de données personnelles, alors que cet agrément est requis en matière de consommation, d'environnement et de santé. Pourquoi une telle différence de traitement ? Néanmoins, la loi apporte déjà des garde-fous, et il s'agissait d'un point susceptible de faire l'objet d'un compromis entre l'Assemblée nationale et le Sénat. Sagesse.

Il me semble qu’il y a erreur ! Si cet amendement était adopté, il faudrait, non plus un simple risque, mais un risque élevé pour pouvoir déroger à l’obligation de notification des failles de sécurité. Cela diminuerait la protection de certains traitements importants pour la sécurité publique. La commission demande donc le retrait de cet amendement, faute de quoi elle émettrait un avis défavorable.

Il y a une légère confusion de la part des auteurs de l’amendement, puisqu’il s’agit ici non pas de l’action de groupe, mais de l’action individuelle par mandataire. L’amendement vise à permettre à la CNIL d’imposer à un responsable de traitement dont elle a constaté un manquement aux règles relatives à la protection des données personnelles de rembourser à l’association ou à l’organisation mandatée les frais qu’elle a engagés. La commission ne peut y être favorable, pour plusieurs raisons : d’une part, la CNIL n’est pas une juridiction, susceptible de condamner aux dépens ; d’autre part, l’examen par la CNIL d’une réclamation n’est pas ...

...ive en marge du document, soit en y annexant un document rectificatif. Plusieurs amendements de nos collègues visent aussi à supprimer le renvoi à un décret en Conseil d’État, ajouté par la commission des lois pour tenir compte des observations de la CNIL. En effet, le RGPD prévoit que la loi nationale peut déroger au droit reconnu aux personnes physiques sur leurs données en ce qui concerne les traitements à des fins archivistiques dans l’intérêt public, mais ces dérogations ne sont permises que sous réserve de garanties appropriées et dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques de ces traitements. Il convient donc de préciser par décret en Conseil d’État la portée de ces dérogations, les garanties offertes aux...

...éjà prévue, qu’il s’agisse de recueillir son avis ou son autorisation. Il ne me semble donc pas utile d’ajouter les mots : « pour avis », qui pourraient avoir pour effet de restreindre le champ de sa consultation. En tout état de cause, le texte de la commission est de nature à vous rassurer, car il est prévu, quelques alinéas plus haut, l’autorisation, obligation et préalable, de la CNIL à tout traitement de données en matière pénale. C’est pourquoi la commission sollicite le retrait de cet amendement.

Il s’agit encore une fois du problème du profilage. La commission des lois, dans un souci d’harmonisation entre le droit national et le droit européen, a choisi de renvoyer à la définition du profilage donné par le règlement général sur la protection des données. Ce règlement définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplace...

Cet amendement tend à revenir sur l’obligation, pour les responsables de traitement, de distinguer les données en fonction de la qualité des personnes concernées – victimes, tiers, mis en cause. Pourtant, les durées de conservation et même les droits diffèrent en fonction de la qualité de ces personnes, selon qu’elles sont victimes ou mises en cause. Il semble donc évident de prévoir que ces fichiers doivent rigoureusement distinguer la qualité de ces personnes. En conséquence...

Le présent amendement vise à revenir sur le délai d’un mois à partir de la réception de la demande, qui est le délai actuellement prévu pour le traitement d’antécédents judiciaires, le TAJ. La commission émet donc un avis défavorable sur cet amendement.

Cet amendement tend à instaurer, en matière pénale, pour les traitements concernés par la directive, un droit à l’effacement des données biométriques légalement stockées sur des serveurs distants. De surcroît, le responsable de traitement devrait pouvoir les effacer dans un délai de quarante-huit heures. Je comprends très bien l’intention qui sous-tend cet amendement, mais je ne suis pas sûre que ce délai soit réaliste. Et sur quel principe fonder ce droit à l’effac...

La directive ne concerne que les fichiers de données personnelles et non la mise en œuvre de techniques de recueil de renseignements. Au reste, avec cet amendement, on semble faire une confusion entre deux types de voies de recours : celles qui doivent être organisées pour la licéité des traitements de données personnelles et celles qui portent sur les techniques des fichiers de renseignement. Voilà pourquoi la commission émet un avis défavorable.

Cet amendement vise à imposer aux responsables de traitements des données de santé de dispenser, dans un langage clair et facilement accessible, les informations délivrées à un mineur exerçant seul ses droits : il est satisfait. Le RGPD prévoit déjà, de façon générale, d’informer de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » les personnes exerçant leurs droits. Il crée en outre une obligation ...

Cet amendement vise à introduire des concepts et des interdictions qui ne sont pas ceux qui sont prévus par le RGPD, lequel régit déjà précisément les conditions de traitement des données, fondées sur le consentement, et encadre de multiples garanties –respect des finalités, exercice des droits – les éventuels retraitements ultérieurs. En conséquence, nous demandons le retrait de cet amendement.

...dus publics. Comme l’a dit M. le secrétaire d’État, on ne saurait accepter que l’administration se défausse ainsi de ses responsabilités sur la machine, en jouant de la complexité technique et de la réputation d’infaillibilité des automates pour masquer ses propres choix. La commission des lois a donc choisi de n’autoriser les décisions administratives individuelles prises sur le fondement d’un traitement automatisé de données personnelles que lorsque ce traitement a pour objet d’appliquer strictement des dispositions légales ou réglementaires à des faits dont la matérialité et la qualification juridique ont été établies sur un autre fondement que celui d’un traitement automatisé. Cela rend inutile la précision apportée par l’Assemblée nationale selon laquelle « le responsable de traitement s’ass...

La commission est défavorable à l’amendement n° 98. À quoi cela sert-il de créer ou de déclarer des droits si le citoyen n’en est pas informé et si, finalement, ces droits restent lettre morte ? La loi pour une République numérique, qui a été promulguée en octobre 2016, a prévu que les décisions individuelles fondées sur un traitement algorithmique devraient comporter une mention en ce sens.

Le présent amendement nous éloigne de l’objet du projet de loi. Il vise à renforcer drastiquement certains instruments de lutte contre la fraude sociale. Il autoriserait ainsi désormais l’accès des collectivités territoriales et des bailleurs sociaux au Répertoire national commun de la protection sociale, qui est un traitement de données sensibles puisqu’il concerne le numéro de sécurité sociale, l’un des traitements les plus protégés, au contrat de travail des demandeurs de logements sociaux et à leurs trois dernières fiches de paie. Ces informations pourraient même être directement obtenues auprès de l’employeur. La commission n’y est pas favorable. Cet amendement ne s’articule pas bien avec les autres dispositions ...

Cet amendement, qui élargirait le pouvoir réglementaire de la CNIL à tout type de traitement, se heurte à un double obstacle. Tout d’abord, il se heurte au RGPD qui ne permet aux États membres de fixer des règles plus protectrices que celles qu’il énonce que dans certaines matières. Il se heurte ensuite à un obstacle constitutionnel, car la délégation d’un pouvoir réglementaire aussi large à une autorité administrative risquerait d’être censurée au regard de l’article 21 de la Constitu...

L’amendement n° 62 vise à étendre le champ d’application des garanties offertes par les règlements types de la CNIL aux traitements mis en œuvre pour le compte de l’État en matière de génétique, de biométrique et de santé aux traitements de données. L’intention est louable, mais elle semble satisfaite par l’état du droit. En effet, si ces traitements sont hors du champ des règlements types de la CNIL, c’est qu’ils ne peuvent être créés que par un décret en Conseil d’État pris après avis de la CNIL. Ils restent ainsi soumis...