Interventions sur "traitement" de Sophie Joissains

Cet amendement pose problème, car, si le délégué à la protection des données a, d’une certaine manière, une fonction de vigie, il a aussi une fonction de confiance vis-à-vis du responsable de traitement. Or le statut de lanceur d’alerte n’est pas compatible avec celui d’avocat. Le DPO étant responsable, il veillera à remplir sa mission au mieux ; mais lui donner un statut de lanceur d’alerte me paraît difficile, compte tenu de la relation de confiance partagée qu’il doit entretenir avec le responsable de traitement. Je demande donc le retrait de l’amendement, et j’y serai défavorable s’il est ...

...ption permettrait à la formation plénière de la commission de déléguer au président ou au vice-président délégué certaines décisions touchant aux nouvelles obligations de notification des violations de données. Conformément à l’article 34 du RGPD, la CNIL devra recevoir ces notifications et examiner si la violation est susceptible d’engendrer un risque élevé, afin soit d’exiger du responsable de traitement de communiquer cette violation aux personnes concernées, soit de décider que cette communication n’est pas nécessaire. Les services de la CNIL ont mis en avant auprès de votre rapporteur les chiffres des Pays-Bas, où cette obligation de notification existe déjà en droit positif : 6 500 notifications par an, dans un pays bien plus petit que la France. Il convient d’aider la CNIL à ménager ses moy...

Je demande le retrait de cet amendement relatif aux pouvoirs de contrôle de la CNIL. En effet, il vise à étendre de manière plus explicite l’applicabilité du régime des secrets protégés aux données stockées et gérées par un sous-traitant du responsable de traitement. Or il me semble entièrement satisfait par l’état du droit qui, d’une part, prévoit l’opposabilité de trois types de secrets protégés, le secret professionnel des avocats, les sources journalistiques et le secret médical et, d’autre part, ne module pas l’exercice des pouvoirs des agents de la CNIL en fonction du type de stockage choisi par le responsable de traitement.

Monsieur le président, madame la garde des sceaux, monsieur le président de la commission des lois, mes chers collègues, la loi Informatique et libertés a franchi le cap des quarante années d’existence. C’est une grande loi, une loi visionnaire, et si ses dispositions ont dû être adaptées au fil de l’évolution rapide des technologies numériques et du développement de nouveaux modes de traitement des données personnelles, ses principes cardinaux sont restés d’airain : consentement éclairé, loyauté de la collecte des données personnelles, adéquation aux finalités de traitement. Les traitements de données ont changé d’échelle et se sont mondialisés avec l’apparition de véritables géants numériques américains et, désormais, chinois. Dans cette course constante que se livrent le droit et la...

...up trop large et l’interdiction proposée risque de paralyser l’activité des établissements, où la gestion des élèves et des notes est, aujourd’hui, souvent très dématérialisée. La commission formule donc une demande de retrait. Toutefois, et plusieurs personnes reçues en audition nous en ont fait part, nous abordons ici, indirectement, un problème important : l’insuffisance de la protection des traitements de données scolaires et l’impréparation de l’éducation nationale face à la mise en conformité au règlement général de protection des données. Il serait souhaitable que le Gouvernement nous éclaire et nous rassure sur ce point.

La commission sollicite le retrait de cet amendement, qui vise, par dérogation à l’interdiction de traitement de données sensibles, à permettre aux établissements financiers d’utiliser des bases de données biométriques pour les aider à remplir les obligations de vigilance qui leur sont imposées par le code monétaire et financier. Ces obligations consistent essentiellement en une analyse de risque. Les établissements financiers doivent ainsi tenir compte de multiples facteurs inhérents aux clients, aux pr...

La commission sollicite le retrait de cet amendement. Les dispositions résultant du présent projet de loi relatives au champ d’application de la loi française qui figureront dans le texte de la loi Informatique et libertés n’auront pas vocation à régir les traitements soumis au règlement, qui est d’application directe et fixe lui-même son champ d’application territorial.

Au critère du lieu de résidence de la personne concernée par le traitement des données, il entend substituer plutôt le critère du lieu d’établissement du responsable de traitement. Ce changement est contraire à la position de la commission, qui a maintenu le critère de résidence. Comme le note justement l’étude d’impact du projet de loi, le « critère de l’établissement » aurait certes pour avantage premier de permettre au responsable de traitement de n’appliquer qu’un ...

La commission sollicite le retrait de cet amendement, parce qu’il est en partie satisfait par l’article 13 du règlement général sur la protection des données, qui définit de façon exhaustive les obligations de transparence en faveur des personnes dont les données sont l’objet de traitement, notamment l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement, les destinataires ou les catégories de destinataires des données. Cet amendement prévoit en outre des obligations supplémentaires qui ne sont pas du tout prévues par le RGPD et auxquelles je ne peux donc être favorable.

La commission sollicite le retrait de cet amendement, qui tend à donner au législateur la possibilité d’interdire le traitement de données sensibles rendues publiques. Outre qu’il ne précise pas lui-même les cas où une telle interdiction devrait s’appliquer, le présent amendement semble fusionner les régimes applicables à deux types différents de données : d’une part, le régime applicable aux données personnelles, pour lesquelles la personne a consenti au traitement – ces données peuvent ne pas avoir été rendues publique...

L’avis est défavorable, car cet amendement vise à revenir intégralement au texte du projet de loi initial en supprimant tous les apports de la commission. L’objet de l’amendement ne mentionne que les dispositions votées concernant l ’ open data des décisions de justice. C’est oublier que l’article 11 ne concerne pas seulement ce sujet, mais également le régime général de licéité des traitements de données pénales et, plus particulièrement, la liste des personnes, y compris morales de droit privé, autorisées à mettre en œuvre des fichiers concernant les infractions ou les condamnations pénales. Cet article adopté par la commission vise par exemple à permettre de maintenir le régime d’autorisation préalable des fichiers en matière pénale. Il convient donc de conserver les apports de la c...

L’avis est très défavorable. Cet amendement vise d’abord à étendre considérablement, sans aucune forme de garantie, la liste des personnes pouvant mettre en œuvre des traitements d’infractions pénales, de condamnations ou de mesures de sûreté dès lors qu’ils s’effectuent « sous le contrôle de l’autorité publique », sans autre précision. Cela s’entend hors des fichiers directement mis en œuvre par les autorités publiques qui, eux, restent mentionnés au 1° de l’article 9 de la loi de 1978. Avec la suppression de l’ensemble du régime d’autorisation préalable des fichiers p...

Nous examinons le projet de loi relatif à la protection des données personnelle. L'objet de ce texte est d'adapter la loi « Informatique et libertés » au paquet européen de protection des données personnelles, qui se compose d'un règlement général sur la protection des données (RGPD) et d'une directive spécifique aux traitements mis en oeuvre en matière policière et judiciaire. Ces sujets ne sont pas inconnus de notre commission, qui a la chance de compter parmi ses membres un commissaire de la Commission nationale de l'informatique et des libertés (CNIL), Loïc Hervé. De façon générale, le Sénat s'est distingué ces dernières années en étant particulièrement actif sur ces questions. Il a d'abord agi au niveau européen....

...semblée des départements de France nous indiquait qu'elle avait fait son travail, mais que personne d'autre ne se sentait concerné. Les petites communes reçoivent des devis à 3 000 euros par jour pour des formations ou des mises en conformité ! La CNIL fait ce qu'elle peut pour informer le public, mais personne n'a pris la mesure des investissements à effectuer : devoir d'alerte du responsable de traitement dans les 72 heures, devoir de prévenir toutes les personnes concernées, etc. Il est invraisemblable que la question des collectivités territoriales n'ait pas été abordée, comme si elles n'existaient pas ! Je souhaite qu'elles bénéficient du même régime que l'État, au nom de leur mission de service public et de leurs prérogatives de puissance publique : pas d'amendes de la CNIL, délai de deux ans ...

... Mon amendement COM-40 exonère les collectivités territoriales et leurs groupements, au même titre que l'État, de l'amende administrative. L'amendement COM-40 est adopté. L'amendement rédactionnel COM-41 est adopté, ainsi que l'amendement de cohérence COM-42. Les amendements rédactionnels COM-43 et COM-44 et l'amendement d'harmonisation COM-45 sont adoptés. Un grand nombre de responsables de traitement ne seront pas prêts au mois de mai. Mon amendement COM-47 propose que le produit des sanctions pécuniaires et des astreintes prononcées par la CNIL finance les actions destinées à les aider à se conformer à la nouvelle réglementation. L'argent de la protection des données doit aller à la protection des données. L'amendement COM-47 est adopté. L'amendement de précision COM-48 rectifié est adopté...

Je suis également, pour des raisons similaires, défavorable à l'amendement COM-18. L'amendement COM-18 n'est pas adopté. L'amendement COM-49 prend en compte le cas des prestataires et des stagiaires pour les traitements mis en oeuvre par les employeurs ou les administrations, qui portent sur des données biométriques nécessaires au contrôle de l'accès aux lieux de travail. L'amendement COM-49 est adopté. L'interdiction prévue par l'amendement COM-19 me paraît bien trop générale. Le souhait de prendre en considération des situations de handicap est évidemment louable mais cet amendement est satisfait par le dr...

...s dérogations ne trouveront à s'appliquer que dans la mesure nécessaire à l'exercice de leurs missions de service public. Il paraît donc utile qu'un décret en Conseil d'État précise la portée de ces dérogations. Tel est l'objet de l'amendement COM-54. L'amendement COM-54 est adopté. Il ne m'apparaît pas justifié de déroger au droit à la rectification de données inexactes en ce qui concerne les traitements mis en oeuvre par les services publics d'archives, raison pour laquelle je vous propose d'adopter l'amendement COM-55. L'amendement COM-55 est adopté. L'amendement COM-53 prévoit, comme le Gouvernement l'avait initialement souhaité, qu'un décret en Conseil d'État puisse étendre ces dérogations, en tout ou partie, aux autres traitements mis en oeuvre à des fins de recherche scientifique ou his...

Je vous propose, par l'amendement de suppression COM-59, de maintenir à seize ans l'âge du consentement autonome d'un mineur pour le traitement de ses données personnelles par certains services en ligne. Nous manquons en effet de données précises sur les pratiques et les risques d'Internet en la matière et souhaiterions être mieux informés sur ce sujet, c'est aussi le but de la mission menée par notre collègue Catherine Morin-Desailly.

L'amendement COM-60 procède à une réécriture globale de l'article 14 relatif aux décisions prises sur le fondement d'algorithmes. Le projet de loi autorise les décisions administratives individuelles prises sur le seul fondement d'un traitement automatisé des données, jusqu'ici prohibées. Sans méconnaitre les bénéfices liés à l'usage d'algorithmes par l'administration, il convient de l'encadrer strictement. En effet, une décision automatisée risque d'être aveugle à des circonstances particulières de l'espèce ; le recours aux algorithmes doit donc être réservé à des cas qui n'appellent aucun pouvoir d'appréciation. Un deuxième risque est...

Afin que la CNIL puisse présenter ses observations devant une juridiction saisie d'une action de groupe, il convient qu'elle soit informée de l'introduction de l'instance par le demandeur. Tel est l'objet de l'amendement COM-63. L'amendement COM-63 est adopté. Il convient de laisser aux responsables de traitement, et je pense notamment aux collectivités territoriales les plus petites ainsi qu'aux TPE-PME, le temps de se conformer aux nouvelles obligations issues du RGPD. Il ne faut pas les exposer dès son entrée en vigueur au risque d'affronter une action de groupe en réparation des préjudices causés par leurs éventuels manquements. Je vous propose donc, avec l'amendement COM-64, de prévoir un délai de de...