M. Alex Türk attire l'attention de Mme la garde des sceaux, ministre de la justice sur le fait que le décret relatif à la « labellisation » des produits assurant la protection des personnes à l'égard des fichiers est en attente de publication depuis 2004.
La loi n° 2004-801 du 6 août 2004 a notamment confié à la Commission nationale de l'informatique et des libertés (CNIL) la mission spécifique d'évaluation des technologies et d'accompagnement du développement économique des entreprises. Elle est ainsi de plus en plus fréquemment sollicitée comme conseil par des entreprises, avant la mise en œuvre de nouveaux services s'appuyant sur des technologies comme la biométrie, la vidéosurveillance, l'élaboration de « profils » permettant l'octroi ou le refus de crédits, la mise en place de fichiers d'incidents pour les locations de véhicules, la géolocalisation des salariés. A cet égard, elle s'est dotée d'un service d'expertise technologique, dont la mission est d'évaluer les systèmes informatiques existants, de faire des préconisations en matière de sécurité des données et de respect des droits « informatique et libertés » applicables aux personnes.
Aujourd'hui, 80 % de l'activité de la CNIL concerne le secteur privé. Or, cette mission d'accompagnement et d'orientation des procédés informatiques développés par les entreprises ne pourra être mise en oeuvre que lorsque le décret d'application de la loi d'août 2004, conférant à la CNIL le pouvoir de délivrer des « labels » en ce domaine, sera publié.
En effet, la loi du 6 août 2004 confère à la CNIL une compétence en matière de labellisation, puisqu'elle dispose que : « A la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements... Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elles les a reconnus conformes aux dispositions de la présente loi;».
Ce retard pénalise à la fois la CNIL et les entreprises puisque cette procédure est susceptible de procurer à celles-ci un avantage concurrentiel dès lors que l'argument de qualité liée au respect « informatique et libertés » se présente comme un véritable outil de compétitivité.
C'est pourquoi il lui demande de bien vouloir lui préciser le délai dans lequel sera publié ce décret relatif à la labellisation.
La garde des sceaux, ministre de la justice, fait connaître à l'honorable parlementaire que la loi n° 2004-801 du 6 août 2004, qui transpose la directive 95/46/CE du 24 octobre 1995, a modifié en profondeur la loi « Informatique et libertés » qui comporte de nombreuses dispositions appelant des mesures réglementaires d'application. Un premier décret d'application a été publié le 22 octobre 2005. Celui-ci concerne principalement l'organisation et le fonctionnement de la Commission nationale de l'informatique et des libertés, l'accomplissement des formalités préalables à la mise en oeuvre des traitements de données à caractère personnel, l'institution des correspondants à la protection des données intervenant au sein de l'établissement, du service ou de l'organisme qui met en oeuvre les traitements, ou encore les pouvoirs de contrôle a priori et a posteriori de la commission. Le second décret, qui date du 28 mars 2007, précise les conditions et les modalités d'exercice des droits d'accès, d'opposition et de rectification ainsi que le transfert de données à caractère personnel vers des pays n'appartenant pas à l'Union européenne. Ainsi que le rappelle l'honorable parlementaire, le 3° de l'article 11 de la loi du 6 janvier 1978 modifiée qui offre à certains organismes la faculté de saisir la Commission nationale de l'informatique et des libertés en vue d'obtenir notamment la labellisation de produits ou de procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel nécessite des mesures réglementaires d'application. À cet égard, des travaux ont été entamés, dès 2005, avec les services de la Commission nationale de l'informatique et des libertés. Un dispositif simple renvoyant largement au droit commun des procédures en vigueur devant la commission a été envisagé, afin de définir les caractères de la procédure de délivrance de labels, en se limitant à fixer la durée de validité du label et le mode de publicité des décisions prises, ainsi qu'à ouvrir à la commission une faculté de retirer à titre provisoire ou définitif les labels précédemment accordés. Toutefois, la commission a estimé ne pas être en mesure de procéder elle-même aux expertises et évaluations nécessaires et a exprimé le voeu de recourir à des centres d'évaluation agréés. Cette faculté n'étant pas prévue par la loi du 6 janvier 1978, une telle externalisation des expertises ne peut donc être envisagée.
Aucun commentaire n'a encore été formulé sur cette question.