Séance en hémicycle du 20 mars 2018 à 21h30

La séance est reprise.

Nous poursuivons la discussion du projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles.

Je rappelle que la discussion générale a été close.

Nous passons donc à la discussion du texte de la commission.

L’amendement n° 119, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

I. – Alinéa 4

Supprimer cet alinéa.

II. - Après l’alinéa 19

Insérer un alinéa ainsi rédigé :

…° Le b du 4° est complété par les mots : « et peut à cette fin, soumettre les mesures adaptées aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises » ;

La parole est à M. Jérôme Durain.

La commission des lois a proposé de façon opportune de prendre en compte la situation des collectivités territoriales afin de mieux les accompagner dans la mise en œuvre de leurs nouvelles obligations. Il est bien normal que l’on propose aux collectivités les mêmes dispositifs qu’aux entreprises.

À destination des PME et des PMI qui forment le « maillon faible » – même si certaines d’entre elles sont en avance – en termes de population d’entreprises, car elles ne disposent pas nécessairement des conseils juridiques dont bénéficient les grands groupes, la présidente de la CNIL a annoncé la publication prochaine d’une interface « clé en main », coproduite avec Bpifrance sous forme d’un « pack de conformité » au RGPD, destinée à ces acteurs.

De manière générale, la mission d’information de la CNIL ne fait pas défaut, son trente-septième rapport annuel en témoigne.

Il semble inapproprié aux sénateurs du groupe socialiste et républicain de commencer à compartimenter la mission générale d’information de la CNIL à ce stade. Il s’agit de la première mission de la CNIL et elle intéresse toutes les personnes concernées, qu’elles soient physiques ou morales, publiques ou privées.

Il serait plus utile pour le Sénat, qui exerce une responsabilité particulière de représentation des collectivités territoriales, de mettre à profit la force de proposition de la CNIL pour suggérer au Gouvernement les mesures législatives et réglementaires d’adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques, en prévoyant que cette mission particulière doive prendre en compte la situation des collectivités territoriales et celle des petites et moyennes entreprises.

C’est la raison pour laquelle le présent amendement vise à modifier le 4° b de l’article 11 de la loi du 6 janvier 1978.

Quel est l’avis de la commission ?

Le présent amendement vise à supprimer la mission qui incombe à la CNIL de fournir une information adaptée aux collectivités territoriales et aux TPE-PME.

En échange, les auteurs du présent amendement prévoient seulement que le rôle de veille législative de la CNIL pourrait lui permettre d’alerter le Gouvernement sur des mesures à prendre concernant les collectivités. Ce n’est pas du tout la même chose !

Nous sommes très attachés au rôle d’accompagnement de la CNIL auprès des petites collectivités et des petites structures. Je vous appelle donc à en rester au texte proposé par la commission.

Avis défavorable !

Quel est l’avis du Gouvernement ?

Le Gouvernement partage l’avis de la commission.

Pourquoi ?

Je mets aux voix l’amendement n° 119.

L’amendement n° 29, présenté par Mme M. Carrère, est ainsi libellé :

Alinéa 9, seconde phrase

Après le mot :

mineurs

insérer les mots :

et des personnes dépourvues de compétences numériques

La parole est à Mme Maryse Carrère.

Cet amendement vise à souligner la difficulté que rencontrent, à l’heure du « tout-numérique », certains administrés qui devraient faire l’objet d’une protection spécifique.

Selon une étude de la Délégation aux usages de l’internet, l’illettrisme numérique concernerait 15 % de la population, une problématique également soulignée dans le rapport de la Cour des comptes de 2016 consacré à la « généralisation des services publics numériques ».

Selon la Cour des comptes, les difficultés que rencontrent certains de nos concitoyens à manier les nouveaux outils numériques se doublent de difficultés liées à l’illettrisme classique. Or 90 % des contenus publiés sur internet prennent actuellement la forme de textes.

Nous considérons qu’au même titre que d’autres publics vulnérables, tels que les mineurs, ces personnes devraient bénéficier d’une protection spécifique dans l’exercice de leur droit à la protection de leurs données personnelles.

Quel est l’avis de la commission ?

Cet amendement vise à mieux prendre en considération les publics dépourvus de compétences numériques dans l’élaboration des codes de conduite sectoriels.

En droit, l’objectif est déjà directement pris en compte par le RGPD qui encadre les conditions de recueil du consentement ; il oblige à une information adaptée au public et prévoit des garanties spécifiques pour certaines personnes vulnérables, dont les mineurs.

La commission demande donc le retrait de cet amendement.

Quel est l’avis du Gouvernement ?

Le Gouvernement s’en remettra à la sagesse du Sénat.

La parole est à M. Loïc Hervé, pour explication de vote.

Les auteurs de cet amendement abordent un vrai sujet, à savoir l’exclusion d’un certain nombre de nos compatriotes du numérique. À peu près 5 millions de personnes adultes sont concernées, soit une partie non négligeable de la population française. Je suis donc tenté, à titre personnel, de voter cet amendement, car il a le mérite d’appeler l’attention du Gouvernement et du législateur sur ces questions essentielles.

Certes, dans notre pays, certaines personnes ne souhaitent pas entrer dans la sphère numérique, et c’est un choix éclairé. Mais d’autres personnes, parce qu’elles ne maîtrisent pas le français, parce qu’elles sont touchées par le handicap, par l’âge ou par l’illettrisme « numérique », voire par l’illettrisme tout court, ne peuvent pas avoir accès aux outils numériques. Par humanisme, eu égard à ces populations, je serai donc tenté de voter cet amendement, même si, comme je l’ai souligné dans la discussion générale, il n’est pas possible non plus d’élargir à l’envi les missions de la CNIL. Les uns et les autres ont rappelé que la CNIL disposait de moyens limités, soit d’un peu moins de 200 personnes, comme l’a souligné Mme la ministre.

Elle n’a pas de moyens !

N’en rajoutons pas trop, d’autant qu’elle mène des actions d’éducation au numérique auprès des enfants. Soyons donc prudents !

Néanmoins, nous devons tous bien avoir présent à l’esprit, ce soir, la problématique des personnes exclues du numérique.

La parole est à M. Jean-Pierre Sueur, pour explication de vote.

Je ne comprends pas pourquoi, tout à l’heure, l’amendement de Jérôme Durain a été rejeté. Mon collègue a pourtant très bien expliqué que les collectivités locales, que le Sénat est chargé de représenter, doivent être particulièrement aidées par rapport à la réalité du numérique. Comment peut-on considérer qu’il ne s’agit pas là du rôle de la CNIL ?

Par ailleurs, l’amendement de Mme Carrère me paraît très important. On fait comme si le numérique était une évidence, mais nombre de nos concitoyens sont concernés par l’illettrisme numérique dont nous avons beaucoup parlé lors de la loi pour une République numérique. Certains d’entre eux sont même très loin du numérique.

Absolument !

Pourtant, ils devront faire face. J’ai entendu, madame la ministre, qu’on ne pourra bientôt plus déclarer ses revenus que par voie numérique. Or certaines personnes ne peuvent ou ne savent pas le faire. Nous sommes tous attachés à ce que la citoyenneté soit prise en compte dans toutes ses acceptions. Le numérique n’est pas un acquis pour tout le monde. Je sais que la CNIL connaît un problème de moyens, mais il est essentiel aussi qu’elle s’occupe de la situation de ces personnes. À mon sens, Mme Carrère a très bien fait de présenter cet amendement, que je soutiendrai.

La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

Mon intervention est fondée sur l’expérience que je suis en train de vivre à travers la préparation d’un rapport, dont j’ai parlé dans la discussion générale, sur la formation initiale et continue au numérique, par le numérique et avec le numérique, qui intègre toutes les générations, à commencer bien sûr par les enfants.

Au cours des très nombreuses auditions que j’ai réalisées, j’ai surtout été frappée par le retard de notre pays. Alors que nous sommes avant-gardistes sur la question de la protection des données – ce dont nous pouvons nous réjouir –, nous sommes paradoxalement très en retard en ce qui concerne la digitalisation des entreprises. La France se situe en effet dans un classement moyennement bas par rapport à d’autres pays.

Quant aux populations fragilisées, notre pays enregistre également une forme de retard. Certaines personnes rencontrent des difficultés pour appréhender ces questions éminemment techniques, je pense notamment à toutes les personnes isolées et d’un certain âge, qui se trouvent précipitées dans cette mutation numérique sans accompagnement. Elles doivent remplir des formulaires et accomplir désormais leurs démarches de manière dématérialisée.

C’est une difficulté qui nous est souvent signalée dans le monde rural, d’où mon insistance tout à l’heure sur les besoins en termes de formation et d’accompagnement. Le gouvernement précédent n’avait pas du tout anticipé cette difficulté alors que nous savions qu’il faudrait bientôt transposer le règlement.

« L’illectronisme » est un nouveau mot, qui correspond à une nouvelle réalité. Tout autant que pour l’illettrisme, un immense travail nous attend, mais pas seulement à l’école. Il faudra également mettre l’accent sur la formation continue et partout ailleurs. Je suis donc également tentée d’envoyer un signal fort dans cette direction et de voter cet amendement, en cohérence avec ce que je constate sur tous les territoires où je me rends pour collecter des informations afin d’établir mon rapport qui, je l’espère, sera utile à notre assemblée.

La parole est à M. Bernard Delcros, pour explication de vote.

Je saisis cette occasion pour m’associer aux propos de plusieurs intervenants.

De façon générale, nous devons être extrêmement vigilants dans toutes nos prises de décision, car nous sommes en train de basculer d’une société du papier et de la présence physique à une société du numérique et de la communication à distance. Nous sommes donc dans une période de transition. Or, si les jeunes n’ont aucun problème pour s’adapter, ce n’est pas le cas des personnes, parfois âgées, mais pas toujours, qui ne sont pas nées avec le numérique et n’ont pas l’agilité requise pour accomplir l’ensemble des démarches numériques.

Dans cette période de transition – le phénomène se « tassera » au fil de l’arrivée des nouvelles générations –, nous devons faire très attention de ne pas laisser au bord du chemin certains de nos concitoyens. Je m’associe donc à cet amendement.

La parole est à M. Jérôme Durain, pour explication de vote.

L’ensemble de ces interventions s’inscrivent dans le droit fil des débats que nous avons eus la semaine dernière lors de l’examen du projet de loi Darmanin pour un État au service d’une société de confiance, où les risques liés à la société dématérialisée et à des services publics dématérialisés ont été soulignés à de très nombreuses reprises.

Par cohérence avec tout ce que nous avons dit la semaine dernière et également cet après-midi, nous soutiendrons cet amendement.

La parole est à M. Marc Laménie, pour explication de vote.

M. Marc Laménie. Il est vrai que nous pouvons rencontrer de l’illettrisme numérique sur nos territoires, mais cela n’explique pas tout. Personnellement, je reste attaché aux documents papier.

Un de nos collègues a abordé la question des déclarations de revenus. Certes, de moins en moins de nos concitoyens utilisent le papier pour faire leur déclaration, mais beaucoup de personnes autour de nous préfèrent encore utiliser des documents papier, d’autant que la fracture numérique, souvent évoquée dans cet hémicycle, est une réalité. Il reste d’ailleurs beaucoup à faire pour lutter contre les zones blanches ou grises.

Certes, cet amendement porte sur la CNIL et sur ses principales missions. Néanmoins, il convient de rester extrêmement prudent et de ne pas imposer complètement la dématérialisation. Il est important de conserver un peu de proximité, dans le souci de chacun. Voilà pourquoi je soutiendrai cet amendement.

La parole est à Mme la garde des sceaux.

Mme Nicole Belloubet, garde des sceaux. Cet amendement s’inscrit effectivement dans le droit fil de précisions déjà formulées et qui permettent d’édicter des codes de conduite prenant en compte, notamment, les besoins des mineurs et d’autres besoins spécifiques. C’est la raison pour laquelle le Gouvernement s’en est remis à la sagesse du Sénat, mais il s’agissait en réalité d’une sagesse très positive.

Très bien !

La parole est à Mme le rapporteur.

Comme vient de l’indiquer Mme la ministre, seuls les codes de conduite sont concernés. Accepteriez-vous, madame la sénatrice, de rectifier cet amendement et de préciser dans l’alinéa 9 que la CNIL « prend en compte la situation des personnes dépourvues de compétences numériques » ? Il s’agirait ainsi d’une mesure beaucoup plus générale, car l’amendement initial ne présentait pas vraiment de sens.

Madame Carrère, acceptez-vous de rectifier votre amendement dans le sens souhaité par Mme le rapporteur ?

Oui, monsieur le président.

Je suis donc saisi d’un amendement n° 29 rectifié, présenté par Mme M. Carrère, et ainsi libellé :

Alinéa 9, après la première phrase

Insérer une phrase ainsi rédigée :

Elle prend en compte la situation des personnes dépourvues de compétences numériques.

Je le mets aux voix.

Très bien !

L’amendement n° 14 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants – République et Territoires, est ainsi libellé :

Alinéa 11, première phrase

1° Après le mot :

types

insérer le mot :

notamment

2° Après le mot :

assurer

insérer les mots :

la protection des données, à savoir par exemple le respect des droits en matière d’accessibilité, de finalité et de minimisation des données,

La parole est à M. Alain Marc.

Cet amendement vise à élargir le cadre des règlements types à la protection des données, par exemple au respect des droits en matière d’accessibilité, de finalité et de minimisation de la donnée.

Cette rédaction permettra à la CNIL d’édicter des règlements de fond en matière de protection de la donnée et de respect de la vie privée. En novembre 2017, dans un avis sur la transposition de la directive européenne, elle avait fait la demande d’un élargissement du cadre des règlements types pour pouvoir élargir son champ d’action au-delà du seul sujet de la sécurité des systèmes. Ces nouvelles responsabilités consacrent son rôle de protecteur de la vie privée. Et Dieu sait si nous y sommes attachés au Sénat !

Outre l’accessibilité et la finalité des données, cet amendement vise à inscrire également dans le cadre des règlements types la question de la minimisation des données collectées.

Il semble en effet opportun que la CNIL s’exprime et mette en œuvre une règle de fond pour que la collecte et le traitement des données ne concernent que les données essentielles. Il s’agit d’une avancée importante pour le respect de la vie privée et des données personnelles.

Quel est l’avis de la commission ?

Cet amendement, qui élargirait le pouvoir réglementaire de la CNIL à tout type de traitement, se heurte à un double obstacle.

Tout d’abord, il se heurte au RGPD qui ne permet aux États membres de fixer des règles plus protectrices que celles qu’il énonce que dans certaines matières.

Il se heurte ensuite à un obstacle constitutionnel, car la délégation d’un pouvoir réglementaire aussi large à une autorité administrative risquerait d’être censurée au regard de l’article 21 de la Constitution.

J’ajoute que la CNIL elle-même est satisfaite de la rédaction issue de l’Assemblée nationale et n’est pas demandeuse d’un nouvel élargissement de ses compétences sur ce point, ce qui est à mettre en rapport avec les arguments développés par Loïc Hervé tout à l’heure.

Quel est l’avis du Gouvernement ?

Le Gouvernement partage l’avis de la commission.

Je retire mon amendement, monsieur le président.

L’amendement n° 14 rectifié bis est retiré.

Je suis saisi de deux amendements faisant l’objet d’une discussion commune.

L’amendement n° 62, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :

Alinéa 11, seconde phrase

Supprimer les mots :

sauf pour les traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique,

La parole est à Mme Esther Benbassa.

L’alinéa 11 de l’article 1er prévoit que la CNIL établisse et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel, et de régir les traitements de données biométriques, génétiques et de santé.

Dans ce cadre, elle peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé, conformément à l’article 9 du règlement européen, et des données relatives aux infractions pénales, conformément à l’article 10 du même règlement.

L’alinéa 11 exclut ces mesures supplémentaires pour les traitements mis en œuvre pour le compte de l’État agissant dans l’exercice de ses prérogatives de puissance publique.

Nous ne partageons pas la philosophie de cette exception et considérons au contraire que, compte tenu de la nécessité d’encadrer strictement le traitement des données sensibles, il convient de la supprimer.

La CNIL s’est d’ailleurs exprimée en ce sens dans sa délibération du 30 novembre 2017, regrettant notamment que les mesures techniques et organisationnelles supplémentaires qu’elle prescrirait pour le traitement de ces données « ne puissent concerner les traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice même des prérogatives de puissance publique, alors que le besoin de cadrage du traitement de certaines données n’y est pas moins important ».

L’amendement n° 30, présenté par Mme M. Carrère, est ainsi libellé :

Alinéa 11, seconde phrase

Après les mots :

de l’État

insérer les mots :

et des collectivités territoriales

et remplacer le mot :

ses

par le mot :

leurs

La parole est à Mme Maryse Carrère.

Cet amendement vise à rétablir une exigence égale en matière de protection des données biométriques, génétiques et de santé.

En effet, le présent article prévoit la possibilité de contraindre les collectivités territoriales, et non l’État, à prendre des mesures techniques et organisationnelles supplémentaires.

Si la finalité de cette disposition est légitime, puisqu’elle vise à mieux protéger des données sensibles, en revanche il est incompréhensible que les exigences varient d’une personne publique à une autre selon qu’il s’agit d’un service de l’État ou d’une collectivité territoriale.

Quel est l’avis de la commission ?

L’amendement n° 62 vise à étendre le champ d’application des garanties offertes par les règlements types de la CNIL aux traitements mis en œuvre pour le compte de l’État en matière de génétique, de biométrique et de santé aux traitements de données.

L’intention est louable, mais elle semble satisfaite par l’état du droit.

En effet, si ces traitements sont hors du champ des règlements types de la CNIL, c’est qu’ils ne peuvent être créés que par un décret en Conseil d’État pris après avis de la CNIL. Ils restent ainsi soumis à un régime plus strict d’autorisation préalable, en raison de leur caractère particulièrement sensible.

La commission a donc émis un avis défavorable.

Quant à l’amendement n° 30, il vise à exempter les collectivités territoriales des garanties spécifiques que la CNIL peut imposer aux responsables de traitements de données biométriques, génétiques ou de santé.

Cet amendement va beaucoup trop loin. Il s’agit de données particulièrement sensibles de nos concitoyens et, dans ce domaine, l’action de la CNIL est singulièrement la bienvenue.

N’oublions pas que les règles de sécurité exigées par la CNIL concernant les données biométriques, génétiques et de santé sont aussi là pour protéger les élus locaux : en cas de problème, ils exposent leur responsabilité pénale.

La commission demande le retrait de cet amendement.

Quel est l’avis du Gouvernement ?

Mme Benbassa souhaite que la CNIL puisse imposer des règlements types à l’État pour les traitements de données biométriques, génétiques et de santé. Comme Mme la rapporteur vient de l’indiquer, cela me semble difficile puisque les traitements de l’État sont soumis à une autorisation préalable, après avis de la CNIL. Le garde-fou que vous proposez est, en cette occurrence, inutile.

J’émets donc un avis défavorable sur l’amendement n° 62.

Le Gouvernement est également défavorable à l’amendement n° 30 présenté par Mme Carrère.

Si le projet de loi exclut effectivement l’État agissant dans l’exercice de ses prérogatives de puissance publique, c’est au motif qu’un régime contraignant existe à l’encontre de l’État. L’article 9 du projet de loi prévoit une formalité préalable particulière. Ces traitements, je le rappelle, sont autorisés par décret en Conseil d’État, pris après avis motivé et publié de la CNIL. Un tel régime n’est pas prévu pour les collectivités territoriales. Il ne serait d’ailleurs pas pertinent : chaque fois qu’une commune souhaiterait mettre en œuvre un tel traitement, il faudrait adopter un décret en Conseil d’État, ce qui est une procédure relativement lourde et difficile !

Je retire mon amendement !

L’amendement n° 30 est retiré.

Je mets aux voix l’amendement n° 62.

L’amendement n° 82, présenté par le Gouvernement, est ainsi libellé :

Alinéa 13

1° Troisième phrase

Après les mots :

l’article 43 du même règlement

insérer les mots :

ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément

2° Dernière phrase

Supprimer cette phrase.

La parole est à Mme la garde des sceaux.

Le RGPD encourage la mise en place de mécanismes de certification pour faciliter la transparence et le respect du règlement, et permettre aux personnes concernées d’évaluer rapidement le niveau de protection des données offert par les produits et services proposés. Il s’agit donc d’une marge de manœuvre pour la délivrance de l’agrément des organismes certificateurs.

L’article 43 du RGPD prévoit en effet que cet agrément peut être délivré soit par l’autorité de contrôle – en France, il s’agit de la CNIL –, soit par l’organisme national d’accréditation – en France, le Comité français d’accréditation, le COFRAC –, soit par les deux.

L’objectif du Gouvernement est de mettre en œuvre cette marge de manœuvre pour qu’au 25 mai 2018 la CNIL et le COFRAC soient en mesure de répondre à une forte demande prévisible d’agréments ou de certifications de manière directe. Or la rédaction actuelle du projet de loi, qui crée un f bis à l’article 11 de la loi de 1978, ne répond pas totalement à cet objectif, car elle ne prévoit pas que le COFRAC puisse également agréer les certificateurs.

C’est la raison pour laquelle nous avons déposé cet amendement, qui vise à introduire cette possibilité, étant précisé que la CNIL restera à l’initiative du choix de l’autorité chargée de cet agrément – soit elle-même ou le COFRAC.

Le Gouvernement propose par la même occasion de supprimer la dernière phrase de l’alinéa 13 selon laquelle la CNIL « peut établir des exigences supplémentaires en matière de normes d’accréditation ». Cette mention, qui est déjà prévue à l’article 43 du règlement de 2016, ne nous semble en effet pas nécessaire.

Quel est l’avis de la commission ?

Favorable.

Je mets aux voix l’amendement n° 82.

L’amendement n° 79 rectifié, présenté par Mme Morin-Desailly, MM. Henno, Kern et Laugier, Mme Doineau, M. Bonnecarrère, Mmes de la Provôté, Goy-Chavent et Vullien, M. Détraigne, Mme Gatel, MM. Maurey, Mizzon, Canevet, Cigolotti, Delcros, L. Hervé et les membres du groupe Union Centriste, est ainsi libellé :

Après l’alinéa 13

Insérer un alinéa ainsi rédigé :

« …) Elle peut décider de certifier, dans des conditions définies par décret pris après avis de l’autorité nationale en matière de sécurité et de défense des systèmes d’information, les objets connectés commercialisés à destination des consommateurs, aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi, qu’ils garantissent la possibilité de désactiver la collecte des données de l’utilisateur et qu’ils répondent à des exigences élevées en matière de sécurité ; »

La parole est à Mme Catherine Morin-Desailly.

Le groupe Union Centriste s’inquiète de l’absence de stratégie de l’Internet des objets au niveau de notre pays, mais surtout au niveau européen.

L’Internet des objets concerne tous les objets connectés et autres capteurs qui se déploient à une vitesse toujours plus accélérée, au fur et à mesure que les innovations se succèdent, et qui captent toujours plus de données. Ces données transiteront de plus en plus par les objets connectés qui nous entourent.

On nous propose déjà aujourd’hui de porter des vêtements connectés et des tas de petits accessoires ou prothèses. On nous offre même des implants corporels ! C’est dire si les objets connectés sont notre avenir dans un monde numérique.

Or il convient, je crois, que ces objets disposent de certifications nous garantissant un très haut degré de confidentialité et de sécurité, et surtout le droit au « silence des puces », c’est-à-dire la possibilité de se déconnecter.

Bien entendu, c’est au niveau européen qu’il importe d’avoir aussi une stratégie ambitieuse en matière industrielle, d’autant que nous sommes très en retard par rapport aux autres continents sur ce sujet. Cela garantirait une forme de souveraineté numérique et permettrait également d’appuyer le développement de notre industrie, une industrie en accord avec les principes et les valeurs des citoyens européens.

Je pense que, d’ores et déjà, nous devons pouvoir nous dire que certains objets peuvent être certifiés. Sans doute est-ce anticiper un dispositif à venir plus ambitieux, mais au moins aurons-nous signalé cette problématique, qui est vraiment celle de demain tout en se posant dès aujourd’hui.

Mes chers collègues, il est indispensable de mettre en œuvre cette stratégie, à laquelle les plus grands spécialistes réfléchissent déjà, d’autant que les données transitant par ces objets concernent tous nos secteurs hypersensibles : la santé, demain les transports autonomes, l’énergie, l’environnement – bref, notre environnement du quotidien.

Quel est l’avis de la commission ?

Avis favorable.

Quel est l’avis du Gouvernement ?

Votre amendement, madame la sénatrice, vise à conférer à la CNIL la possibilité de certifier des objets connectés. Il nous semble qu’il est satisfait par l’alinéa 13 de l’article 1er, aux termes duquel la CNIL « peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures ». Nous considérons que les objets connectés dont vous parlez sont bien évidemment inclus dans la catégorie des « produits ».

La précision que vous proposez n’est donc, de mon point de vue, pas nécessaire. Peut-être même serait-elle de nature à créer de la confusion sur l’étendue du pouvoir de certification de la CNIL.

Par ailleurs, je tiens à souligner que les perspectives offertes par le règlement « ePrivacy » en cours d’élaboration au niveau de l’Union européenne viseront très précisément les objets connectés.

Ainsi donc, compte tenu à la fois de ce qui est prévu aujourd’hui et de ce qui est à venir, il ne me semble pas nécessaire de compléter la rédaction du texte. J’émets un avis défavorable sur l’amendement.

La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

On pourrait imaginer, madame la ministre, que l’expression « objets connectés » soit ajoutée à l’alinéa que vous avez cité. En tout cas, le mot « produits » est beaucoup trop vague, alors que les objets connectés répondent à une définition extrêmement précise.

Le travail mené au niveau de l’Union européenne en ce qui concerne le règlement ePrivacy est tout à fait nécessaire, mais il est loin d’être achevé ; on connaît aussi la lenteur des procédures.

Il me semble que, pour tout mettre en cohérence par anticipation, nous pourrions parfaitement ajouter parmi les missions de la CNIL la possibilité – car il s’agirait, j’y insiste, d’une possibilité – de certifier des objets connectés, en lien, bien sûr, avec les instances de régulation nationale comme l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, qui a un rôle important à jouer.

Je crois sincèrement, madame la ministre, qu’il est important, sur ces sujets éminemment stratégiques, d’envoyer des signaux très forts, notamment en matière d’internet des objets, et de montrer que nous avons compris quel sera le monde dans lequel nous évoluerons demain.

Un monde un peu inquiétant, du reste, car on parle aujourd’hui, au vu des nouvelles tendances et des usages émergents de l’Internet, d’une interface zéro, qui supprimerait presque les objets : ceux-ci seraient intégrés corporellement à l’être humain, devenu lui-même une interface… Mes chers collègues, ce n’est pas de la science-fiction : c’est ce que sera notre vie demain – on parle également de lieux connectés.

Ce n’est pas pour vous contrarier, madame la ministre, mais, je le répète, le terme « produits » est beaucoup trop vague : il y a des lieux connectés, des objets connectés. Mes chers collègues, montrons que le Sénat est très soucieux des libertés individuelles et du respect des valeurs européennes pour un internet raisonné et raisonnable !

La parole est à M. Jérôme Durain, pour explication de vote.

Pour aller dans le même sens que Mme Morin-Desailly, je crois qu’on ne peut pas à la fois constater la massification de la présence des objets connectés dans notre vie courante, dire que ce sujet va devenir majeur, et s’accommoder d’un « peut décider » qui nous paraît beaucoup trop hypothétique par rapport aux risques que courent les consommateurs et les utilisateurs de ce type d’objets. Nous voterons l’amendement.

La parole est à M. Alain Marc, pour explication de vote.

Le sujet que soulève Mme Morin-Desailly est crucial et mérite beaucoup plus que ce simple amendement, même s’il est important. Nous parlons de la certification d’objets connectés, pas de l’utilisation de ces objets, qui me semble tout aussi importante. L’enjeu est si grand qu’il faudra aller beaucoup plus loin que cet amendement, peut-être sous la forme d’une mission d’information. Les objets connectés vont complètement imprégner les années qui viennent !

La parole est à M. Loïc Hervé, pour explication de vote.

Quand on vise les objets connectés, on ne vise pas seulement l’objet lui-même tel qu’on le trouve dans un commerce, avec le logo de la CNIL : on vise l’usager.

Dans un ouvrage publié en 2011, notre ancien collègue Alex Türk, qui fut aussi président de la CNIL, évoque les usagers en ces termes : « Parmi ceux que nous avons appelés les “naïfs” se trouvent d’abord les usagers, qui sont parfaitement conscients des capacités des acteurs du réseau à identifier, capter, manipuler leurs données et donc à analyser leur comportement, cerner leurs goûts et ainsi établir leur profil. » Car tel est bien l’objectif de l’objet connecté ! « Mais, disent-ils, cela ne leur pose aucun problème, car “ils n’ont rien à cacher ni rien à se reprocher”. Précisons que ce syndrome du “rien-à-cacher-rien-à-me-reprocher” peut concerner aussi bien des familiers des moteurs de recherche et des réseaux sociaux que des personnes susceptibles de faire l’objet d’une prise de vue ou d’une géolocalisation, à leur insu ou non. » Sept ans après la parution de cet ouvrage, c’est exactement cette question qui se pose !

La CNIL travaille déjà, et de longue date, sur la question des objets connectés, comme sur celle des véhicules connectés – demain, les véhicules échangeront des données entre eux.

En effet !

Nous sommes à la préhistoire d’un bouleversement total !

Avec l’ensemble du groupe Union Centriste, je soutiens l’amendement de Mme Morin-Desailly, qui vise à nommer les choses et, par l’objet, à entrer en discussion avec l’usager, auquel nous avons à proposer une démarche éthiquement responsable en ce qui concerne la collecte des données.

Sans doute aurons-nous de nouveau à débattre, dans la suite de l’examen de ce projet de loi, de la collecte des données, partout où elle est possible, notamment sur les moteurs de recherche et les plateformes. Il faut garantir à l’usager que les données collectées servent à des fins absolument claires et transparentes. En nommant les objets connectés, qui ont envahi notre quotidien, nous ferons un pas de plus dans cette discussion !

Très bien !

Je mets aux voix l’amendement n° 79 rectifié.

L’amendement n° 121, présenté par Mme S. Robert, MM. Durain, Sutour, Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 17

Remplacer les mots :

peut établir

par le mot :

établit

La parole est à Mme Sylvie Robert.

Mme Morin-Desailly a insisté il y a quelques instants sur le fait que son amendement visait une possibilité : « peut certifier ». Celui-ci vise à remplacer les mots « peut établir » par le mot « établit », mais, contrairement à ce qu’on pourrait penser, il est plus que rédactionnel.

Il a pour objet de rendre effectif et non facultatif l’établissement de la liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable de la CNIL.

Parfois, dans l’écriture des textes, on emploie des verbes qui peuvent prêter à interprétation. Je propose que l’alinéa 17 soit rédigé au présent de l’indicatif, comme nombre de dispositions de la loi de 1978. Ainsi l’action sera-t-elle vraiment effective dans ce domaine. Soyons vigilants, car, sur ce type de textes, comme nous le verrons dans la suite de la discussion, le vocabulaire utilisé peut modifier les interprétations.

Quel est l’avis de la commission ?

Avis favorable.

Quel est l’avis du Gouvernement ?

L’article 28 de la directive impose que la CNIL soit consultée préalablement à la création de tout traitement susceptible, au regard de ses conclusions quant à l’analyse d’impact ou en raison de l’utilisation de nouvelles technologies, de présenter des risques élevés pour les droits et libertés des personnes concernées. Cet article prévoit que la CNIL peut établir une liste de ces traitements devant faire l’objet d’une consultation préalable.

En prévoyant une simple faculté pour la CNIL d’établir cette liste de traitements non mis en œuvre pour le compte de l’État, le projet de loi transpose strictement la directive.

Au demeurant, l’établissement d’une telle liste n’aura de sens que si vous adoptez l’amendement présenté par le Gouvernement à l’article 19 pour supprimer l’obligation, ajoutée par la commission des lois, d’une autorisation préalable de la CNIL pour tout traitement non mis en œuvre par l’État dans le champ de la directive. En effet, si une autorisation de la CNIL est nécessaire pour créer tout traitement non mis en œuvre par l’État dans le champ de la directive, il devient inutile de fixer une obligation de consultation préalable dans certains cas…

J’émets donc un avis défavorable sur l’amendement.

Je mets aux voix l’amendement n° 121.

Je suis saisi de deux amendements faisant l’objet d’une discussion commune.

L’amendement n° 120, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 19

Remplacer les mots :

ou par le Président du Sénat

par les mots :

par le Président du Sénat, par les commissions compétentes de l’Assemblée nationale et du Sénat ainsi qu’à la demande d’un président de groupe parlementaire

La parole est à M. Jérôme Durain.

Le présent amendement vise à étendre la possibilité de consulter la CNIL sur une proposition de loi ou sur toute disposition d’une proposition de loi relative à la protection des données personnelles, déjà prévue pour les présidents des assemblées parlementaires, aux présidents de commission permanente ou de groupe parlementaire. Cette avancée sur le plan de la démocratie parlementaire apporterait de la souplesse dans l’organisation de nos assemblées.

Certes, la CNIL, comme toute autorité administrative indépendante, peut déjà répondre aux sollicitations ou solliciter directement le Parlement. Reste que, au moment où des propositions destinées à limiter les droits des parlementaires, à rendre le temps législatif expéditif ou à réduire l’influence du Parlement et de ses membres sont défendues par les plus hautes autorités de l’État, il semble utile, impérieux même, de formaliser cette procédure de consultation dans la loi.

À des fins de coordination, nous avons déposé un amendement n° 124 visant à la traduire dans l’ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires et dans le règlement de nos assemblées.

L’amendement n° 63, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :

Alinéa 19

Après le mot :

Sénat

insérer les mots :

, ainsi qu’à la demande d’un président de groupe parlementaire,

La parole est à Mme Esther Benbassa.

Dans le même esprit que l’amendement de nos collègues socialistes, celui-ci a pour objet de permettre aux présidents de groupe parlementaire de l’Assemblée nationale et du Sénat de saisir la CNIL sur toute proposition de loi ou sur toute disposition d’une proposition de loi relative à la protection ou au traitement des données à caractère personnel.

Je vous rappelle que cette disposition a été adoptée à l’Assemblée nationale, avec le soutien de la rapporteur comme de vous-même, madame la ministre.

L’opposition n’est pas à la mode ; on le constate à chaque annonce relative à la réforme des institutions, et la restriction du droit d’amendement en est un exemple flagrant. Mais l’opposition existe et doit pouvoir jouer son rôle. C’est un enjeu démocratique majeur.

Mes chers collègues, permettre aux présidents de groupe parlementaire de saisir la CNIL des propositions de loi relatives aux données personnelles serait une bien petite concession !

Quel est l’avis de la commission ?

La CNIL peut être consultée par toutes les autorités, dont les présidents de groupe, comme par tous les sénateurs et tous les députés, s’ils le souhaitent. Établir un formalisme de ce type pourrait exclure ce qui fonctionne aujourd’hui très bien dans un cadre informel.

L’avis est donc défavorable sur les deux amendements.

Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Je suis convaincue par les arguments de Mme la rapporteur…

Avis défavorable !

Je mets aux voix l’amendement n° 120.

Je mets aux voix l’amendement n° 63.

L’amendement n° 15 rectifié bis, présenté par M. A. Marc, Mme Deromedi et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :

Alinéa 19

Après le mot :

Sénat

insérer les mots :

, par soixante députés ou soixante sénateurs

La parole est à M. Alain Marc.

La discussion féconde de ce matin en commission des lois m’a convaincu de retirer cet amendement, dont l’adoption reviendrait à restreindre la possibilité de saisine de la CNIL, ouverte à tout député et tout sénateur.

L’amendement n° 15 rectifié bis est retiré.

L’amendement n° 17 rectifié bis, présenté par M. A. Marc, Mme Deromedi et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :

Alinéa 23

Rédiger ainsi cet alinéa :

7° L’avant-dernier alinéa est complété par une phrase ainsi rédigée : « Elle peut saisir pour avis toute autre autorité ou institution intéressée par l’accomplissement de ses missions. »

La parole est à M. Alain Marc.

Cet amendement vise à modifier le 7° de l’article 11 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés pour permettre à la CNIL de saisir toute autre autorité ou institution intéressée par l’accomplissement de ses missions. Il s’agit de favoriser le dialogue entre les différentes autorités ou institutions compétentes sur les problèmes numériques.

Quel est l’avis de la commission ?

La faculté de saisine d’une autorité indépendante par une autre est consacrée et généralisée par leur statut général, voté sur l’initiative de notre assemblée.

L’amendement étant sans objet, j’en demande le retrait.

Je le retire !

L’amendement n° 17 rectifié bis est retiré.

Je mets aux voix l’article 1er, modifié.

L’amendement n° 122 rectifié, présenté par Mme S. Robert, MM. Durain, Sutour, Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Après l’article 1er

Insérer un article additionnel ainsi rédigé :

Après l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée, il est inséré un article ainsi rédigé :

« Art. … - Le délégué à la protection des données institué par l’article 37 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE peut signaler à la Commission nationale de l’informatique et des libertés les difficultés qu’il rencontre dans l’exercice de ses missions.

« Lorsque le délégué à la protection des données révèle ou signale, de manière désintéressée et de bonne foi, une violation grave, manifeste et répétée des droits et libertés mentionnés à l’article 1er de la présente loi, les dispositions du chapitre II du titre Ier de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique s’appliquent. »

La parole est à Mme Sylvie Robert.

Cet amendement ouvre un débat et soulève un enjeu démocratique relatif au statut et au rôle que pourraient être amenés à jouer les futurs délégués à la protection des données.

En un sens, le délégué à la protection des données – ou DPO, pour Data Protection Officer – sera la clé de voûte de l’application du règlement : à la fois conseiller du responsable, mais aussi du sous-traitant mettant en œuvre le traitement, garant du respect des obligations leur incombant et point de contact de l’autorité de contrôle ainsi que des citoyens s’enquérant d’une information, il occupera une position stratégique et aura une vision synoptique.

Il sera donc en mesure de déceler d’éventuels manquements ou violations liés à la protection des données personnelles, sous réserve que lui soient garanties des conditions idoines à l’exercice de ses missions, notamment, bien sûr, en termes d’indépendance.

Dans les cas les plus graves – songeons aux faits qui ont fait l’actualité du week-end dernier et qui nous ont un peu interloqués –, où les atteintes aux droits sont à la fois massives par leur ampleur et considérables par leur nature, il s’avère essentiel de permettre au délégué de jouer pleinement son rôle de vigie, voire de révélateur de pratiques contraires aux droits fondamentaux.

C’est pourquoi les auteurs de cet amendement proposent que, lorsque le délégué à la protection des données signale, de manière désintéressée et de bonne foi, des violations graves, manifestes et répétées des droits et libertés mentionnés à l’article 1er de la loi du 6 janvier 1978, il puisse bénéficier du statut de lanceur d’alerte créé par la loi Sapin II.

D’autres scandales, dysfonctionnements ou entorses à la réglementation seront peut-être révélés un jour ; nous verrons bien. Nous devons en tout cas nous en prémunir, autant que possible. Octroyer ce statut au délégué à la protection des données dans des cas bien précis pourrait être une manière très pertinente d’y parvenir.

Quel est l’avis de la commission ?

Cet amendement pose problème, car, si le délégué à la protection des données a, d’une certaine manière, une fonction de vigie, il a aussi une fonction de confiance vis-à-vis du responsable de traitement. Or le statut de lanceur d’alerte n’est pas compatible avec celui d’avocat.

Le DPO étant responsable, il veillera à remplir sa mission au mieux ; mais lui donner un statut de lanceur d’alerte me paraît difficile, compte tenu de la relation de confiance partagée qu’il doit entretenir avec le responsable de traitement.

Je demande donc le retrait de l’amendement, et j’y serai défavorable s’il est maintenu.

Quel est l’avis du Gouvernement ?

Je sollicite également le retrait de l’amendement ; s’il est maintenu, j’y serai défavorable.

Les auteurs de l’amendement proposent, d’une part, que le délégué à la protection des données puisse « signaler à la Commission nationale de l’informatique et des libertés les difficultés qu’il rencontre dans l’exercice de ses missions ». L’article 39.1 du RGPD prévoyant déjà la coopération du délégué avec la CNIL, le délégué pourra remplir, madame la sénatrice, la mission que vous souhaitez lui assigner.

D’autre part, l’amendement vise à octroyer au délégué à la protection des données le statut de lanceur d’alerte, en application de la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. Or le RGPD établit déjà un régime complet en faveur de ce délégué.

En particulier, s’agissant de l’indépendance du délégué, il prévoit que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions ». Le délégué ne peut être relevé de ses fonctions ni pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.

Ce statut instauré par le règlement européen est déjà très protecteur pour le délégué à la protection des données.

Madame Robert, l’amendement n° 122 rectifié est-il maintenu ?

Cet amendement était aussi destiné à souligner que, dans certains cas, le rôle du délégué à la protection des données ne sera pas facile. En cas de signalement d’un certain nombre de manquements, surtout lorsque ceux-ci constituent des violations graves et massives des droits fondamentaux, il faudra que le délégué soit protégé. Nous voulions attirer l’attention sur cet enjeu, pour que tout se passe dans les prochaines années de la meilleure façon possible.

Je retire l’amendement, monsieur le président.

L’amendement n° 122 rectifié est retiré.

L’amendement n° 123 rectifié, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Rétablir cet article dans la rédaction suivante :

L’article 4 bis de l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires est ainsi modifié :

1° Après le premier alinéa, il est inséré un alinéa ainsi rédigé :

« Le président d’une assemblée parlementaire peut également saisir la Commission nationale de l’informatique et des libertés d’une proposition de loi ou d’une ou plusieurs dispositions d’une proposition de loi dans les mêmes conditions. » ;

2° Au deuxième alinéa, après les mots : « Conseil d’État », sont insérés les mots : « ou à la Commission nationale de l’informatique et des libertés » ;

3° Au troisième alinéa, après les mots : « Conseil d’État », sont insérés les mots : « ou de la Commission nationale de l’informatique et des libertés » ;

4° Au dernier alinéa, le mot : « trois » est remplacé par le mot : « quatre ».

La parole est à M. Jérôme Durain.

Le présent amendement vise à inscrire dans l’ordonnance du 17 novembre 1958, par coordination avec les dispositions prévues à l’article 1er, la possibilité pour le président d’une assemblée parlementaire de saisir la CNIL sur toute proposition de loi ou toute disposition d’une proposition de loi relative à la protection ou au traitement des données à caractère personnel.

Quel est l’avis de la commission ?

Cet amendement vise, en fin de compte, à aligner la position de la CNIL sur celle du Conseil d’État. Pour les raisons que j’ai expliquées précédemment, relatives au formalisme, j’en sollicite le retrait.

Quel est l’avis du Gouvernement ?

Cet amendement reprend un amendement de la commission des lois de l’Assemblée nationale visant à créer l’article 1er bis. Il s’agit de modifier l’ordonnance du 17 novembre 1958 pour permettre au président d’une assemblée parlementaire de saisir la CNIL. Par ailleurs, l’amendement ajoute la possibilité de saisine sur une ou plusieurs dispositions d’une proposition de loi, ce qui permettrait une saisine plus ciblée. Le Gouvernement s’en remet à la sagesse de la Haute Assemblée.

Je mets aux voix l’amendement n° 123 rectifié.

En conséquence, l’article 1er bis demeure supprimé.

L’amendement n° 124, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Après l’article 1er bis

Insérer un article additionnel ainsi rédigé :

Après l’article 5 ter de l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires, il est inséré un article 5 … ainsi rédigé :

« Art. 5 … – Les commissions permanentes compétentes de l’Assemblée nationale et du Sénat ainsi que les présidents des groupes politiques peuvent saisir la Commission nationale de l’informatique et des libertés sur toute proposition de loi ou sur toute disposition d’une proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données.

« Les règlements des assemblées fixent les conditions dans lesquelles cette saisine s’exerce. »

La parole est à M. Jérôme Durain.

Cet amendement a le même objet que l’amendement n° 120, précédemment examiné.

Quel est l’avis de la commission ?

Je demande le retrait de l’amendement, pour les raisons déjà exposées.

Quel est l’avis du Gouvernement ?

Même avis.

Monsieur Durain, l’amendement n° 124 est-il maintenu ?

Non, je le retire, monsieur le président.

L’amendement n° 124 est retiré.

L’amendement n° 155, présenté par Mme Joissains, au nom de la commission, est ainsi libellé :

Après l’alinéa 2

Insérer un alinéa ainsi rédigé :

« - au 4 de l’article 34 du même règlement (UE) 2016/679 du 27 avril 2016, pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34.

La parole est à Mme le rapporteur.

Le présent amendement vise à introduire plus de souplesse dans l’organisation interne des travaux de la CNIL. Son adoption permettrait à la formation plénière de la commission de déléguer au président ou au vice-président délégué certaines décisions touchant aux nouvelles obligations de notification des violations de données.

Conformément à l’article 34 du RGPD, la CNIL devra recevoir ces notifications et examiner si la violation est susceptible d’engendrer un risque élevé, afin soit d’exiger du responsable de traitement de communiquer cette violation aux personnes concernées, soit de décider que cette communication n’est pas nécessaire.

Les services de la CNIL ont mis en avant auprès de votre rapporteur les chiffres des Pays-Bas, où cette obligation de notification existe déjà en droit positif : 6 500 notifications par an, dans un pays bien plus petit que la France. Il convient d’aider la CNIL à ménager ses moyens en lui offrant cette agilité organisationnelle.

Quel est l’avis du Gouvernement ?

Avis favorable. L’exemple des Pays-Bas est particulièrement convaincant.

Je mets aux voix l’amendement n° 155.

Je mets aux voix l’article 2 bis, modifié.

L’amendement n° 31, présenté par Mme M. Carrère, est ainsi libellé :

Alinéa 6, première phrase

Remplacer les mots :

commissaire du Gouvernement

par les mots :

rapporteur public

La parole est à Mme Maryse Carrère.

Vous connaissez, madame la ministre, mes chers collègues, les travaux antérieurs du groupe du RDSE sur les autorités administratives indépendantes et leur fonctionnement.

Le projet de loi introduit de nouvelles dispositions visant à encadrer le rôle du commissaire du Gouvernement siégeant auprès de la CNIL et désigné par le Premier ministre.

Dans la même logique, nous considérons que, pour respecter la jurisprudence de la Cour européenne des droits de l’homme et la théorie des apparences, il serait utile de le renommer, comme on l’a fait au sein de la juridiction administrative. Les personnes visées par les sanctions prononcées par la CNIL doivent avoir la certitude que ces sanctions ont été prononcées en toute indépendance, sans que le commissaire du Gouvernement donne l’impression d’avoir pesé dans la décision de sanction.

Quel est l’avis de la commission ?

La commission estime que cette mesure ne porterait pas au fond. Si la CNIL tient à se réorganiser – elle engagera peut-être une réflexion en ce sens dans quelque temps, parce qu’elle aura une surcharge de travail importante –, elle proposera d’elle-même ce changement de nom, si elle le juge souhaitable.

Je demande donc le retrait de l’amendement, dont je ne vois pas l’intérêt de fond.

Quel est l’avis du Gouvernement ?

Je demande également le retrait de cet amendement, qui me paraît source de confusion notamment par rapport à ce qui s’est passé pour les juridictions administratives. À défaut, j’y serai défavorable.

Madame Carrère, l’amendement n° 31 est-il maintenu ?

Non, je le retire, monsieur le président.

L’amendement n° 31 est retiré.

Je mets aux voix l’article 3.

L’amendement n° 126 rectifié, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 7

Compléter cet alinéa par les mots :

y compris lorsque ces informations sont stockées et gérées par une entreprise sous-traitante

La parole est à M. Jérôme Durain.

Le présent amendement a pour objet de se saisir de la faculté offerte aux États membres en matière de secret professionnel par l’article 90 du RGPD.

Cet article autorise l’adoption de règles spécifiques, afin de définir les pouvoirs des autorités de contrôle à l’égard des responsables du traitement ou des sous-traitants, qui sont soumis à une obligation de secret professionnel ou à d’autres obligations de secret équivalentes, lorsque cela est nécessaire et proportionné, et ce pour concilier le droit à la protection des données à caractère personnel et l’obligation de secret.

Notre amendement vise à prendre en compte le cas des données couvertes par le secret professionnel, lorsque ces dernières sont stockées et traitées par un fournisseur de service dans le cadre d’un contrat de cloud computing, le problème étant que les données ne sont pas stockées dans les serveurs eux-mêmes objets du contrôle.

Quel est l’avis de la commission ?

Je demande le retrait de cet amendement relatif aux pouvoirs de contrôle de la CNIL.

En effet, il vise à étendre de manière plus explicite l’applicabilité du régime des secrets protégés aux données stockées et gérées par un sous-traitant du responsable de traitement. Or il me semble entièrement satisfait par l’état du droit qui, d’une part, prévoit l’opposabilité de trois types de secrets protégés, le secret professionnel des avocats, les sources journalistiques et le secret médical et, d’autre part, ne module pas l’exercice des pouvoirs des agents de la CNIL en fonction du type de stockage choisi par le responsable de traitement.

Quel est l’avis du Gouvernement ?

Même avis.

Monsieur Durain, l’amendement n° 126 rectifié est-il maintenu ?

Non, je le retire, monsieur le président.

L’amendement n° 126 rectifié est retiré.

Je suis saisi de deux amendements faisant l’objet d’une discussion commune.

L’amendement n° 125, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 8, seconde phrase

Rédiger ainsi cette phrase :

Seul un médecin peut requérir la communication de données médicales individuelles incluses dans cette catégorie de traitement.

La parole est à M. Jérôme Durain.

L’article 4 du projet de loi qui concerne les moyens de contrôle des agents de la CNIL reprend les règles spécifiques qui encadrent actuellement la communication des données médicales relevant de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé, réalisée dans le cadre de ce contrôle.

Toutefois, il prévoit que la communication de ces données médicales ne pourra plus être requise obligatoirement par un médecin, comme le prévoit le droit en vigueur, mais sous son autorité et en sa présence.

Cet assouplissement de la procédure de requête représente un recul par rapport au droit existant. Compte tenu de la nature même des données médicales qui leur confère une sensibilité particulière, il convient de laisser le médecin jouer le premier rôle et de s’assurer de son autonomie de jugement.

L’amendement n° 19 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants – République et Territoires, est ainsi libellé :

Alinéa 8, seconde phrase

Compléter cette phrase par les mots :

après information préalable du patient

La parole est à M. Alain Marc.

Cet amendement a pour objet de préciser que la communication de données médicales individuelles traitées dans le cadre de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé ne peut se faire qu’après information préalable du patient.

Il vise ainsi à respecter le principe de transparence à l’égard des personnes concernées, lequel régit l’ensemble du règlement 2016/679.

Quel est l’avis de la commission ?

L’amendement n° 125 tend à prévoir que seul un médecin peut requérir la communication de données médicales individuelles lors d’un contrôle de la CNIL.

Le texte du projet de loi est légèrement moins strict : il prévoit dans un tel cas que la communication des données ne pourra désormais se faire que « sous l’autorité et en présence d’un médecin ». Comme le précise l’avis du Conseil d’État, qui est à l’origine de la rédaction retenue, « l’agent menant le contrôle sera placé sous la responsabilité fonctionnelle du médecin, qui ne réalisera pas nécessairement lui-même les opérations informatiques, mais adressera toutes les instructions nécessaires à l’agent pour que ne soit pas violé le secret médical ».

Les garanties déjà prévues dans le texte de la commission me semblent importantes, car elles concilient à la fois l’exigence de préservation du secret médical et la nécessaire efficacité opérationnelle des contrôles de la CNIL.

C’est pourquoi je demande le retrait de l’amendement.

L’amendement n° 19 rectifié bis, quant à lui, vise à soumettre la levée du secret médical lors de contrôles de la CNIL portant sur des données médicales individuelles à l’information préalable obligatoire de chaque patient. La commission demande le retrait de cet amendement, mais je dois avouer qu’à titre personnel, je préférerais m’en remettre à la sagesse du Sénat.

Quel est l’avis du Gouvernement ?

Le Gouvernement demande également le retrait de l’amendement n° 125, faute de quoi il y sera défavorable.

Je ne reprendrai pas l’objet de l’amendement, puisqu’il vient d’être exposé. Il me semble que cet amendement, loin d’être davantage protecteur pour la personne concernée, laquelle peut d’ailleurs être à l’origine du contrôle, maintiendrait les difficultés procédurales relevées par la CNIL, alors même que l’accroissement de ses missions nécessite – nous l’avons dit à plusieurs reprises – d’en optimiser les ressources.

C’est la raison pour laquelle le Gouvernement a souhaité modifier le régime procédural en prévoyant désormais que la communication des données médicales individuelles ne pourra se faire que sous l’autorité et en présence d’un médecin. Cette rédaction issue de l’examen du projet de loi au Conseil d’État signifie que l’agent menant le contrôle sera placé sous la responsabilité fonctionnelle du médecin, qui ne réalisera pas nécessairement lui-même les opérations informatiques, mais qui adressera toutes les instructions nécessaires à l’agent pour que le secret médical ne soit pas violé.

Le Gouvernement est également défavorable à l’amendement n° 19 rectifié bis présenté par le sénateur Alain Marc. Sa proposition conditionnerait les pouvoirs de contrôle de la CNIL à la capacité d’informer la personne concernée, ce qui peut se révéler trop lourd, voire impossible à mettre en œuvre dans le cadre du déroulement des contrôles, à la fois dans le temps et dans la forme, ou bien dans certains cas comme, par exemple, lorsque la personne est dans l’incapacité au regard de son état de santé de recevoir l’information.

En pratique, cet amendement permettrait de surcroît aux personnes concernées de se voir communiquer une information sur les contrôles menés par la CNIL, alors même que de nombreuses organisations et entreprises souhaitent que la confidentialité des contrôles soit préservée avant qu’une sanction ne soit prise.

Je mets aux voix l’amendement n° 125.

Je mets aux voix l’amendement n° 19 rectifié bis.

L’amendement n° 83, présenté par le Gouvernement, est ainsi libellé :

Après l’alinéa 10

Insérer un alinéa ainsi rédigé :

« Les membres et agents mentionnés au premier alinéa du I du présent article peuvent, à la demande du président de la commission, être assistés par des experts. » ;

La parole est à Mme la garde des sceaux.

Cet amendement vise à réintroduire la possibilité pour les membres et les agents de la CNIL de faire appel à des experts dans le cadre de leurs opérations de contrôle. Il s’agit de rétablir une possibilité déjà prévue par les dispositions de l’article 44 de la loi de 1978 qui ont été supprimées par erreur. Cette faculté est utilisée par la CNIL, par exemple, lorsque celle-ci s’associe avec l’Autorité de régulation des jeux en ligne pour contrôler les opérateurs de jeux en ligne.

L’adoption du présent amendement offrirait l’occasion d’élargir le recours aux experts en supprimant la condition imposant leur désignation préalable par une autorité. Cela permettra ainsi à la CNIL de faire appel à des experts ne relevant pas nécessairement d’une autorité, tels que ceux qui sont inscrits sur une liste d’experts judiciaires. Un tel assouplissement existe déjà pour d’autres autorités administratives indépendantes : c’est notamment le cas pour l’Autorité des marchés financiers, l’Autorité de la concurrence ou encore l’Autorité de régulation des communications électroniques et des postes.

L’article 55 du règlement intérieur de la CNIL précise d’ores et déjà les modalités de recours aux experts. Conformément à l’article 13 de la loi du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes, celui-ci déterminera également les règles déontologiques applicables à ces experts.

Quel est l’avis de la commission ?

Avis favorable.

Je mets aux voix l’amendement n° 83.

L’amendement n° 127 rectifié, présenté par M. Durain, Mme S. Robert, MM. Sutour, Sueur, Kanner, Assouline et les membres du groupe socialiste et républicain, est ainsi libellé :

Après l’alinéa 10

Insérer deux alinéas ainsi rédigés :

…° Le IV est complété par un alinéa ainsi rédigé :

« Lorsque les traitements mentionnés au premier alinéa du présent IV ne sont pas soumis aux dispositions du présent article, la conformité de ces traitements est contrôlée, en coopération avec la Commission nationale de contrôle des techniques de renseignement, par un ou plusieurs membres de la Commission nationale de l’informatique et des libertés désignés par le président parmi les membres appartenant ou ayant appartenu au Conseil d’État, à la Cour de cassation ou à la Cour des comptes. Le contrôle est effectué dans des conditions permettant d’en assurer la confidentialité. Les conclusions du contrôle sont remises au seul ministre compétent. Les conditions de mise en œuvre de cette procédure sont précisées par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés. » ;

La parole est à M. Jérôme Durain.

Il s’agit de l’un des premiers amendements qui traitent de la question du renseignement.

Dans une démocratie avancée et responsable, le contrôle de l’activité des services de renseignement et notamment des fichiers qu’ils produisent, qu’il s’agisse de l’usage des techniques de renseignement ou de leur résultat en termes de données collectées et traitées, répond à une exigence légitime pour tous ceux qui sont attachés au respect des droits de l’homme.

Bien que ces fichiers ne soient soumis ni au RGPD ni à la directive que le présent projet de loi entend transposer, les modalités de leur contrôle présentent un lien direct avec le texte que nous examinons, dès lors que l’article 4 du projet de loi modifie l’article 44 de la loi de 1978 dont le IV prévoit, en l’état actuel du droit, que les pouvoirs de contrôle général des fichiers reconnus à la CNIL ne s’appliquent pas à certains traitements intéressant la sûreté de l’État.

En conséquence, pour un certain nombre de fichiers considérés comme stratégiques, la possibilité pour la CNIL d’opérer un contrôle a posteriori sur pièce et sur place, plein et entier, est exclue à ce jour.

Certes, il s’agit de données sensibles au sens où elles intéressent directement la sûreté de l’État, la défense et la sécurité publique. D’ailleurs, elles bénéficient déjà à ce titre d’un régime largement dérogatoire et tout à fait justifié.

Par ailleurs, des garde-fous ont été institués par la loi du 24 juillet 2015 relative au renseignement. La Commission nationale de contrôle des techniques de renseignement, la CNCTR, autorité administrative indépendante, est appelée à émettre un avis préalablement à la mise en œuvre d’une technique de renseignement susceptible d’alimenter ces fichiers. Celle-ci procède également à des contrôles a posteriori.

Toutefois, la CNCTR ne s’occupe que des techniques par le biais desquelles les fichiers sont alimentés et n’exerce son contrôle qu’au regard du cadre juridique rigoureux élaboré par le législateur dans le cadre de la loi du 24 juillet 2015. Telle est sa mission et c’est déjà beaucoup ! En revanche, la CNCTR n’est pas compétente pour juger du respect de la protection des données personnelles dans le champ de la loi du 6 janvier 1978.

Actuellement, il existe bien un vide juridique, dans la mesure où aucun contrôle a posteriori de ces fichiers, qui permettrait de garantir leur mise en œuvre dans le respect de la protection des données personnelles et des textes applicables en la matière, auxquels ils sont pourtant soumis, n’est prévu.

L’adoption de cet amendement contribuera à accroître la confiance des citoyens dans l’action des services de renseignement, à diffuser et conforter la culture du renseignement que nous souhaitons promouvoir avec force et, in fine, à renforcer la sécurité de tous dans le respect des libertés publiques.

Quel est l’avis de la commission ?

L’avis de la commission est défavorable, même si je comprends très bien l’intention de mes collègues sur le sujet.

L’amendement vise à renforcer des contrôles de la CNIL et de la CNCTR sur les fichiers de renseignement des services spécialisés. Néanmoins, au regard de leur sensibilité, ces fichiers ne peuvent justement pas faire l’objet d’un tel contrôle de la part de la CNIL. En outre, ce contrôle ne ferait qu’affaiblir nos services de renseignement et risquerait de dissuader nos partenaires de nous transmettre des informations.

J’ajoute qu’un amendement similaire avait déjà été déposé lors de l’examen en 2015 du projet de loi relatif au renseignement et que l’Assemblée nationale, dont la majorité était socialiste à l’époque, l’avait rejeté sans difficulté.

Quel est l’avis du Gouvernement ?

Le Gouvernement émettra également un avis défavorable sur cet amendement.

Je crois en effet que son adoption romprait un certain équilibre et vais tenter de vous en expliquer les raisons. Je serai peut-être un peu longue à ce propos, et à ce propos seul, parce qu’il s’agit d’un point important.

Comme vous le savez, les fichiers de renseignement constituent un sous-ensemble des fichiers dits « de souveraineté », qui intéressent la sûreté de l’État, la défense et la sécurité publique, et qui sont mentionnés à l’article 26 de la loi Informatique et libertés.

De par la nature même de ces fichiers et les finalités qu’ils servent, certains droits ne sont pas reconnus aux personnes concernées. Le droit d’accès aux données contenues dans ces traitements est ainsi exclu. Néanmoins, toute personne qui s’interroge sur la présence dans ces fichiers de données la concernant peut s’adresser à la CNIL, qui procédera aux vérifications en son lieu et place. C’est ce que l’on appelle le « droit d’accès indirect ».

Les principales caractéristiques de ces fichiers de renseignement – je veux parler des finalités du fichier, du type de données collectées, des destinataires des informations ou de l’absence d’interconnexion – sont définies dans un texte réglementaire, en l’occurrence un décret en Conseil d’État, pris après avis de la CNIL.

Cependant, pour des raisons évidentes de confidentialité, et afin de ne pas mettre en cause leur finalité même, la plupart de ces décrets sont dispensés de publication, comme l’autorise l’article 26 de la loi Informatique et libertés.

Le décret du 15 mai 2007 liste les quatorze fichiers concernés par ces dispositions. La possibilité pour la CNIL d’opérer un contrôle a posteriori sur pièce et sur place, plein et entier, n’est exclue que pour huit de ces quatorze fichiers : il ne s’agit donc que des fichiers de renseignement les plus sensibles et pour lesquels la possibilité d’obtenir copie de tout document ou information et d’examiner l’architecture des outils techniques est exclue, au risque de mettre gravement en cause les modalités d’action des services de renseignement.

Au demeurant, l’accès à ces fichiers au sein des services de renseignement est étroitement encadré par des habilitations précises et le besoin d’en connaître.

Comme je le disais, le dispositif de l’amendement pourrait mettre en cause les modalités d’action des services de renseignement, mais aussi le lien de confiance entre nos services et les services étrangers partenaires. Ce n’est qu’avec l’accord exprès d’un partenaire que l’on peut mettre des informations qu’il a partagées à la disposition d’un tiers.

Les huit fichiers dont je viens de parler relèvent de la DGSE, pour deux d’entre eux, de la DGSI et de la Direction du renseignement militaire, pour deux autres d’entre eux, de la Direction du renseignement et de la sécurité de la défense, ainsi que du service de renseignement de la préfecture de police et de celui des douanes. Si, les concernant, la CNIL ne peut pas effectuer un contrôle plein et entier de droit commun, il n’en demeure pas moins que ces fichiers font déjà l’objet d’une pluralité de contrôles.

Les informations qu’ils contiennent sont bien souvent issues de l’utilisation de techniques de renseignement qui sont très strictement encadrées. Comme vous le savez, monsieur le sénateur, la mise en œuvre d’une technique de renseignement suppose l’autorisation préalable du Premier ministre, prise après avis d’une autorité administrative indépendante, la CNCTR.

Cette commission procède par ailleurs à un second contrôle une fois la technique de renseignement mise en œuvre, afin de s’assurer du respect des conditions posées par l’autorisation. Ce contrôle a posteriori est réalisé pour chaque service deux à trois fois par mois de manière très approfondie. Il se double d’ailleurs d’un dialogue très exigeant entre la CNCTR et les services de renseignement sur tout point d’interprétation du cadre juridique rigoureux adopté par le législateur en 2015.

Les renseignements collectés peuvent ensuite être transcrits dans le fichier d’un service de renseignement. Néanmoins, il ne faut pas l’oublier, la création de ce fichier est subordonnée en amont à un examen préalable de la CNIL, puis à celui du Conseil d’État qui, pour autoriser la création par décret de ce traitement, s’assure de la légalité de ses principales caractéristiques, à savoir le type de données recueillies, leurs modalités de conservation et les possibilités de croisement.

Une fois ce fichier créé, et dans le cadre du droit d’accès indirect que j’ai précédemment évoqué, la CNIL se rend trois à quatre fois par an dans chacun des services de renseignement afin de vérifier, au bénéfice des personnes qui la saisissent, que les données détenues le cas échéant par ces services sont nécessaires et respectent les caractéristiques initialement définies dans le texte réglementaire sur lequel la CNIL a donné son avis.

Ce contrôle fait par la suite l’objet de nombreux échanges entre le service de renseignement concerné et la CNIL afin, le cas échéant, de procéder à la rectification ou à l’effacement des données qui ne seraient pas pertinentes.

Enfin, une personne qui pense être connue d’un service de renseignement peut, sans autre condition préalable que le soupçon qui l’habite, saisir une formation spécialisée du Conseil d’État habilitée au secret de la défense nationale, afin d’obtenir l’effacement des données la concernant si celles-ci sont irrégulièrement détenues par les services de renseignement. À l’occasion de ce recours, la CNIL intervient systématiquement et produit les éléments qu’elle a recueillis lors de l’exercice du droit d’accès indirect.

Il me semble que cette pluralité de contrôles répond à une logique propre, qui a été définie à l’occasion de l’adoption de la loi de 2015 relative au renseignement. À ce titre, la CNCTR est compétente pour contrôler le recueil des données brutes de renseignement, c’est-à-dire celles qui seront saisies à l’occasion de l’utilisation d’une technique de renseignement.

La CNIL, quant à elle, est compétente pour contrôler les conditions dans lesquelles les données recueillies sont conservées et, surtout, les conditions dans lesquelles celles-ci sont exploitées dans un fichier.

Cette ligne de partage voulue par le législateur est essentielle, puisque les activités des services de renseignement ne sont pas les mêmes. Si les membres et les agents de la CNCTR, comme ceux de la CNIL, sont habilités au secret de la défense nationale, le principe du cloisonnement en matière de renseignement, qui s’applique au fonctionnement quotidien des services comme aux relations avec nos partenaires étrangers, explique l’équilibre qui a été trouvé, un équilibre qui concilie à la fois la protection des libertés, notamment le droit au respect de la vie privée, et les exigences liées à la préservation des intérêts fondamentaux de la Nation.

C’est parce qu’il me semble que la proposition que vous faites, monsieur le sénateur, modifie cet équilibre que j’émets un avis défavorable sur votre amendement.

La parole est à M. Jérôme Durain, pour explication de vote.

Devant l’exhaustivité de la réponse de Mme la ministre, je retire mon amendement, monsieur le président.

L’amendement n° 127 rectifié est retiré.

L’amendement n° 35, présenté par Mme M. Carrère, est ainsi libellé :

Alinéa 12

Compléter cet alinéa par une phrase ainsi rédigée :

L’accès aux données utilisées lors d’opérations de traitement sans lien avec l’exercice de la fonction juridictionnelle ne peut alors se faire que sous l’autorité et en présence d’un magistrat.

La parole est à Mme Maryse Carrère.

L’article 4 du projet de loi précise les conditions dans lesquelles les agents de la CNIL sont autorisés à contrôler les traitements de données réalisés par les juridictions, sans lien avec leur fonction juridictionnelle.

S’agissant des contrôles des traitements de données médicales stockées par les médecins, qui sont mentionnés au même article du projet de loi, le texte introduit une garantie supplémentaire, à savoir la présence d’un médecin lors des contrôles ainsi conduits par la CNIL, afin de préserver le secret médical.

Nous considérons que le secret de l’instruction devrait également être protégé dans des conditions comparables. C’est pourquoi nous proposons, par mimétisme avec le dispositif que je viens d’évoquer, que les contrôles des agents de la CNIL se fassent en présence et sous l’autorité d’un magistrat. Cela permettrait de s’assurer que ces contrôles ne concernent que le traitement des données, sans lien avec la fonction juridictionnelle. Il importe d’anticiper tous les détournements du pouvoir de contrôle qui pourraient survenir.

Quel est l’avis de la commission ?

La commission demande le retrait de l’amendement. Son auteur prévoit que les contrôles effectués par la CNIL au sein des juridictions se fassent désormais sous l’autorité et en présence d’un magistrat.

La rédaction du dispositif de l’amendement est un peu ambiguë. Il n’est pas précisé si le magistrat ainsi chargé du contrôle sera membre de la CNIL ou bien de la juridiction concernée par le contrôle. Dans le premier cas, cela pourrait occasionner des difficultés opérationnelles, car la CNIL devrait alors spécialement recruter des magistrats à cette fin ; dans le second cas, on voit mal la CNIL conduire un contrôle sous l’autorité d’une personne appartenant à l’organisme contrôlé.

Quel est l’avis du Gouvernement ?

Même avis défavorable.

La parole est à M. Jean-Claude Requier, pour explication de vote.

Je souhaite apporter une précision, monsieur le président.

Vous vous êtes sans doute aperçus, mes chers collègues, que les amendements du groupe du RDSE sont tous présentés par notre collègue Maryse Carrère. Notre groupe, dans sa diversité, sa variété et sa liberté, avait pourtant unanimement décidé de les soutenir. Simplement, nous avons connu un bug informatique qui nous a empêchés de les cosigner ! Seule notre collègue est donc en mesure de les défendre en séance publique.

Les membres de mon groupe sont bien sûr attachés à la protection des données personnelles et des libertés. C’est pourquoi ils tiennent tant à afficher leurs opinions et leurs convictions en séance publique et, évidemment, à s’exprimer au travers de leurs votes !

Madame Carrère, l’amendement n° 35 est-il maintenu ?

Non, je le retire, monsieur le président.

L’amendement n° 35 est retiré.

Je mets aux voix l’article 4, modifié.

Mes chers collègues, je vous rappelle que l’examen de l’article 5 est réservé jusqu’à la fin de l’examen de l’article 6, pour des raisons de coordination.

Je suis saisi de quatre amendements faisant l’objet d’une discussion commune.

L’amendement n° 151, présenté par Mme Joissains, au nom de la commission, est ainsi libellé :

I. - Alinéas 5 à 22

Rédiger ainsi ces alinéas :

« II. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations découlant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu’il fixe :

« 1° De satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ;

« 2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;

« 3° À l’exception des traitements qui intéressent la sûreté de l’État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;

« 4° De rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données.

« Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu’il a prises.

« Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d’extrême urgence.

« Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

« Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l’objet de la même publicité.

« III. – Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I ou le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :

« 1° Un rappel à l’ordre ;

« 2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date qu’elle a fixée ;

« 3° À l’exception des traitements qui intéressent la sûreté de l’État ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée en application du même règlement ou de la présente loi ;

« 4° Le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;

« 5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

« 6° La suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;

« 7° À l’exception des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83.

« Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l’article 60 du même règlement. » ;

II. – Alinéa 38, première phrase

Remplacer la référence :

II

par la référence :

III

La parole est à Mme le rapporteur.

Le présent amendement vise à rendre l’enchaînement des mesures correctrices dont dispose la CNIL plus lisible en rétablissant un ordre logique dans le fil du texte : tout d’abord, un avertissement en cas de simple risque de manquement, puis une mise en demeure en cas de manquement encore susceptible de faire l’objet d’une mise en conformité et, enfin, une procédure de sanction.

Après avoir consulté la CNIL, qui souhaitait conserver une marge d’appréciation et préserver les dispositifs de coopération avec ses homologues, nous sommes parvenus, avec cet amendement de compromis, à une rédaction respectueuse de la liberté d’action de l’autorité, mais plus pédagogique que celle du texte initial.

L’amendement n° 52, présenté par M. L. Hervé, est ainsi libellé :

I. – Alinéa 5

1° Remplacer la mention :

II. –

par la mention :

III. –

2° Remplacer les mots :

, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

par les mots :

également, le cas échéant en complément de la mise en demeure prévue au II du présent article

II. – Alinéa 14

1° Remplacer la mention :

III. –

par la mention :

II. –

2° Après le mot :

peut

insérer les mots :

, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

III. – Alinéa 38, première phrase

Remplacer la référence :

II

par la référence :

III

La parole est à M. Loïc Hervé.

Mon amendement est satisfait par l’amendement n° 151 que vient de présenter Mme le rapporteur.

Je tiens d’ailleurs à remercier Sophie Joissains de la compréhension dont elle a fait preuve. Elle avait déjà proposé une première amélioration rédactionnelle lors de l’examen du projet de loi en commission la semaine dernière. Aujourd’hui, elle nous soumet une version encore améliorée, qui va permettre de rendre la gradation des sanctions, de la mise en demeure à la sanction en tant que telle, beaucoup plus compréhensible.

Mme la ministre a évoqué tout à l’heure le fait que la loi devait faire œuvre de pédagogie et de clarté. C’est très important, mais encore faut-il que l’autorité administrative indépendante qu’est la CNIL garde une capacité d’appréciation de la sanction qu’elle souhaite prononcer eu égard à la gravité de ce qu’elle découvre. Or, parfois, la mise en demeure n’est pas la solution la plus adaptée, notamment lorsque les faits sont avérés et relèvent du passé.

Je retire mon amendement n° 52 au profit de l’amendement de la commission, qui me paraît plus satisfaisant.

L’amendement n° 52 est retiré.

L’amendement n° 84, présenté par le Gouvernement, est ainsi libellé :

I. – Alinéa 5

Supprimer les mots :

, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l’objet d’une mise en conformité,

II. – Alinéa 14

Après le mot :

peut

insérer le mot :

également

La parole est à Mme la garde des sceaux.

Je vais procéder comme vient de le faire le sénateur Loïc Hervé en retirant mon amendement n° 84 au profit de celui de la commission. L’objet de ce dernier rejoint en effet le but que le Gouvernement cherche à atteindre.

Cela étant, la mise en demeure prononcée par la CNIL doit demeurer une faculté, me semble-t-il, et ne pas se transformer en une formalité préalable obligatoire. Bien que je garde une préférence pour la rédaction proposée par le Gouvernement, je suis néanmoins prête à me rallier au dispositif de l’amendement n° 151.

Je retire l’amendement, monsieur le président.

L’amendement n° 84 est retiré.

L’amendement n° 34, présenté par Mme M. Carrère, est ainsi libellé :

Alinéa 12

Compléter cet alinéa par une phrase ainsi rédigée :

Compte tenu des contraintes spécifiques des micro-entreprises et des petites et moyennes entreprises, une amende ne peut être prononcée que lorsque le caractère délibéré de la violation est démontré.

La parole est à Mme Maryse Carrère.

Lors de la discussion générale, nous avons évoqué le coût financier que représente, pour les entreprises, en particulier les petites entreprises, la mise en conformité au RGPD. Contrairement aux grands groupes, l’adaptation à ces nouvelles normes dans les petites structures dépourvues de service juridique interne sera probablement plus laborieuse, sans pour autant que cette phase transitoire représente un risque d’utilisation illicite des données personnelles supérieur au risque actuel.

Par ailleurs, le b du 2 de l’article 83 du RGPD prévoit spécifiquement de tenir compte, pour le prononcé de l’amende, du fait que la violation a été commise délibérément ou par négligence. De ce point de vue, l’introduction d’une présomption de négligence en faveur des petites et moyennes entreprises est conforme à l’esprit de l’article que je viens de citer.

La disposition que nous vous proposons d’adopter représente certes une atténuation du principe d’égalité, mais nous paraît justifiée au regard de la situation particulière dans laquelle se trouvent les petites entreprises dépourvues de services informatique ou juridique suffisants.

Quel est l’avis de la commission sur l’amendement n° 34 ?

La rupture d’égalité que créerait cet amendement s’il était adopté est manifeste. En conséquence, je demande à son auteur de bien vouloir le retirer.

Quel est l’avis du Gouvernement ?

Je demande également le retrait de l’amendement, car celui-ci me semble contraire au RGPD.

Madame Carrère, l’amendement n° 34 est-il maintenu ?

Non, je le retire, monsieur le président.

L’amendement n° 34 est retiré.

Je mets aux voix l’amendement n° 151.

L’amendement n° 85, présenté par le Gouvernement, est ainsi libellé :

Alinéa 44

Supprimer cet alinéa.

La parole est à Mme la garde des sceaux.

Avec cet amendement, le Gouvernement demande la suppression d’une disposition introduite en commission, qui prévoit que le produit des amendes et des astreintes prononcées par la CNIL est destiné à financer l’assistance apportée par l’État aux responsables de traitement et à leurs sous-traitants, afin que ceux-ci se conforment aux obligations en vigueur en matière de protection des données.

Ces sanctions et astreintes seront liquidées par le comptable public et constitueront des créances de l’État. Or, d’une manière générale, je rappelle que la loi organique relative aux lois de finances, la LOLF, en vertu du principe d’universalité budgétaire, n’autorise l’affectation de recettes au sein du budget général de l’État que dans le cadre des procédures prévues en son article 16.

Tout à fait !

Selon cet article, certaines recettes peuvent être directement affectées à certaines dépenses, et ces affectations prennent la forme de budgets annexes. Or, en l’espèce, ces modalités d’affectation ne semblent pas avoir été respectées.

De plus, dans la rédaction établie par la commission, ces produits sont affectés au financement de l’assistance apportée par l’État aux responsables de traitement dans la mise en œuvre de leurs obligations en matière de protection des données. Or une telle mission relève en premier lieu de la CNIL.

L’article 57 du RGPD donne en effet à l’autorité de contrôle, en l’occurrence la CNIL, la mission d’encourager « la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement ».

Cette mission de pédagogie auprès des responsables de traitement me semble donc relever directement du champ de compétences de l’autorité de contrôle. Elle pourra prendre la forme d’une publication de lignes directrices, recommandations, méthodologies de référence ou encore de référentiels destinés à faciliter la mise en conformité.

La proposition reviendrait donc, de manière indirecte, et en vertu de cette mission de la CNIL, à affecter les produits issus des sanctions et astreintes à son budget. Comme je l’indiquais, le principe d’universalité budgétaire s’oppose à une telle affectation ciblée de ressources à la CNIL.

En tant qu’autorité administrative indépendante, cette dernière ne dispose que d’une autonomie de gestion budgétaire. Ses recettes proviennent uniquement des crédits budgétaires qui lui sont affectés par les services du Premier ministre. N’ayant pas la personnalité morale, elle ne peut se voir affecter un prélèvement fiscal.

Rappelons que, selon l’article 36 de la LOLF, l’affectation à un tiers d’une ressource établie au profit de l’État doit résulter d’une disposition de loi de finances. À l’heure actuelle, le produit de l’ensemble des amendes prononcées par les autorités administratives indépendantes est inscrit dans la loi de finances, à la ligne 2503 des recettes du budget de l’État, dont l’intitulé est : « Produits des amendes prononcées par les autres autorités administratives indépendantes ».

Pour l’ensemble de ces raisons, je demande la suppression de l’alinéa 44 de l’article 6.

Quel est l’avis de la commission ?

Il est évidemment défavorable.

Nous entendons les arguments juridiques qui sont les vôtres, madame la garde des sceaux, mais ce sont encore des obligations supplémentaires que l’État fait peser sur les collectivités territoriales, à l’heure où, totalement étranglées, celles-ci ont besoin d’aide et d’assistance.

En ce moment même, elles sont sollicitées par des cabinets d’avocats, qui leur présentent des devis s’élevant à 50 000 euros par an pour une prestation de délégué à la protection des données. Elles ne peuvent pas assumer ce type de dépenses !

Au-delà des arguments juridiques, que nous entendons, et en dépit de cet avis défavorable sur l’amendement, nous vous posons la question : qu’allez-vous faire ? Comment le Gouvernement compte-t-il aider les collectivités à faire face à cette situation ? Quel accompagnement, en particulier, sera proposé par les services des préfectures ?

La parole est à M. Jean-Yves Leconte, pour explication de vote.

J’ai bien entendu l’argumentation de Mme la ministre. Je me permets néanmoins de rappeler que le Conseil supérieur de l’audiovisuel, le CSA, figure parmi les autorités administratives indépendantes, qu’il dispose d’une autonomie de gestion et qu’il est susceptible de recevoir des ressources propres.

Cet amendement ne va peut-être pas jusqu’au bout de l’évolution de statut qu’il serait judicieux d’envisager pour la CNIL. Si celle-ci était en mesure de se voir affecter des ressources propres, au même titre que le CSA, la proposition formulée serait envisageable.

La parole est à M. Arnaud de Belenet, pour explication de vote.

On ne peut que partager l’analyse de Mme la rapporteur : il faut tenir compte des problématiques des collectivités, notamment des petites communes, s’agissant de leurs moyens financiers, de leurs ressources humaines ou de leurs capacités techniques, et ce même s’il est prévu plus loin que celles-ci puissent bénéficier d’un accompagnement au travers d’une mutualisation ou de l’intervention de syndicats.

Pour autant, il faut aussi entendre l’argumentaire juridique quant au mécanisme de financement proposé. En commission, la semaine dernière, nous avons évoqué le fait que nous n’avions pas encore trouvé une solution, sécurisée sur le plan juridique, permettant aux collectivités de financer la dépense. Il semble que nous ne l’avons toujours pas trouvée !

Même si l’on souscrit à l’objectif, on ne peut pas approuver l’alinéa 44. Par conséquent, il faut voter l’amendement du Gouvernement.

La parole est à M. Loïc Hervé, pour explication de vote.

L’accompagnement des collectivités locales a été évoqué en discussion générale – j’en ai moi-même parlé et Mme la ministre m’a répondu. Sur cette question, il faut dorénavant aller beaucoup plus loin et beaucoup plus vite !

Il convient d’abord de rappeler un point, puisque nous sommes les représentants des collectivités territoriales, notamment des communes et des maires. Voilà quarante ans que les collectivités locales ont des obligations et que, dans bien des cas – je pense à la situation des communes les plus petites –, ces obligations ne sont pas tout à fait respectées.

Dans le même temps, alors que la période est au bouleversement, que l’on allège la contrainte réglementaire pesant sur les collectivités, en leur demandant de se responsabiliser, au même titre que les entreprises, les associations et tous les autres gestionnaires de données, il faut leur proposer un accompagnement solide sur le terrain.

Comment ? On ne peut ignorer l’argument budgétaire… Dans la fenêtre du RGPD – nous avons évoqué les uns et les autres une prise de conscience – se sont engouffrés tout un tas d’opérateurs privés, prestataires de services, juristes en tous genres, qui proposent des services à un coût très élevé, comme Mme Joissains l’a rappelé.

Mais je vois une autre solution. Si nous voulons être opérationnels, les associations départementales de maires, les syndicats d’électricité, ceux qui interviennent dans le déploiement de la fibre optique, les conseils départementaux, les centres de gestion de la fonction publique territoriale peuvent déjà servir de structure collective apportant un appui aux collectivités locales sur le terrain. S’y ajoutera le bénéfice du concours et de l’expertise des préfets qui, maintenant que leur attention a été attirée sur ce point par Mme la ministre, ont vraiment en tête leurs obligations en matière de sensibilisation des collectivités locales à leur mise en conformité au regard du RGPD.

Alors, affectons des moyens à ces structures, dans le cadre de cette prise de responsabilité collective mutualisée, département par département. En définitive, c’est une bonne idée d’aller chercher l’argent où il est !

Il faut aller plus loin, sans s’arrêter à la seule LOLF ! Je ne peux qu’être en accord avec l’argument juridique avancé par Mme la ministre, mais peut-être la question doit-elle être travaillée, de sorte que des recettes, des sources de financement pérennes puissent être accordées aux collectivités locales. Car, vous en conviendrez, elles auront tout de même du mal à digérer cette dépense nouvelle dans le contexte actuel.

Très bien !

Je mets aux voix l’amendement n° 85.

L’amendement n° 56 rectifié, présenté par Mmes Lavarde et Garriaud-Maylam, M. Lefèvre, Mme Estrosi Sassone, MM. Brisson, Bazin et Babary, Mme Lassarade, MM. Chaize, Paccaud, Dallier et Bonhomme, Mme Lamure, MM. Perrin, Raison, Milon et Rapin, Mmes Deroche et Imbert et MM. Bouchet, Mandelli, Bonne, Laménie et Savin, est ainsi libellé :

Après l’alinéa 46

Insérer deux alinéas ainsi rédigés :

…° Le premier alinéa de l’article 51 est ainsi rédigé :

« Art. 51 - À l’exception des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, est puni d’un an d’emprisonnement et d’une amende ne pouvant excéder 20 millions d’euros ou, s’agissant d’une entreprise, 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés : ».

La parole est à Mme Christine Lavarde.

Cet amendement vise uniquement à harmoniser le niveau des amendes.

L’article 83 du RGPD punit d’une amende pouvant s’élever jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial, le non-respect des pouvoirs d’enquête de l’autorité de contrôle, c’est-à-dire de la CNIL. L’article 6 que nous examinons tend à harmoniser les sanctions financières prévues à l’article 45 de la loi Informatique et libertés, en fixant leur montant maximal aux mêmes seuils, à savoir 20 millions d’euros et 4 % du chiffre d’affaires.

Or il apparaît qu’une autre amende est prévue à l’article 51 de la loi de 1978, en cas d’entrave à l’action de la CNIL, et que son montant n’a pas été actualisé.

Il s’agit donc, ici, de faire en sorte que les mêmes maxima soient fixés pour l’ensemble des amendes, en cohérence avec les dispositions de l’article 83 du RGPD.

Quel est l’avis de la commission ?

La commission demande le retrait du présent amendement, qui tend à punir le fait d’entraver l’action de la CNIL d’un an d’emprisonnement et d’une amende ne pouvant excéder 20 millions d’euros ou, s’agissant d’une entreprise, de 4 % du chiffre d’affaires annuel mondial. La rédaction choisie crée une sorte de confusion entre les amendes pénales et les sanctions administratives.

Quel est l’avis du Gouvernement ?

Pour les mêmes motifs, c’est-à-dire du fait de la confusion engendrée entre sanctions administratives et amendes pénales, l’avis est défavorable.

Je mets aux voix l’amendement n° 56 rectifié.

L’amendement n° 57 rectifié bis, présenté par Mmes Lavarde et Garriaud-Maylam, M. Lefèvre, Mme Estrosi Sassone, MM. Brisson, Bazin et Babary, Mme Lassarade, MM. Chaize, Paccaud, Dallier et Bonhomme, Mme Lamure, MM. Perrin, Raison, Milon et Rapin, Mmes Deroche et Imbert et MM. Bouchet, Mandelli, Bonne, Laménie et Savin, est ainsi libellé :

Alinéa 47

Remplacer cet alinéa par dix-neuf alinéas ainsi rédigés :

II. – Le code pénal est ainsi modifié :

1° Aux articles 226-16, 226-17 et 226-17-1, les mots : « 300 000 euros d’amende » sont remplacés par les mots : « 10 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

2° Aux articles 226-16-1, 226-18, 226-18-1, 226-19, 226-19-1, 226-20, 226-21, 226-22 et 226-22-1, les mots : « 300 000 euros d’amende » sont remplacés par les mots : « 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

3° Au deuxième alinéa de l’article 226-22, les mots : « 100 000 euros d’amende » sont remplacés par les mots : « 5 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 1 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » ;

4° L’article 226-16 est ainsi modifié :

a) Au premier alinéa, après le mot : « loi », sont insérés les mots : «, ou, dans les cas où la loi l’exige, sans qu’un délégué à la protection des données ait été désigné, » ;

b) Au deuxième alinéa, la référence : « au 3° du I de l’article 45 » est remplacée par les références : « aux 3°, 4°, 5° ou 6° du II de l’article 45 ou aux 1°, 2°, 3°, 4° ou 5° du I de l’article 46 » ;

5° À l’article 226-17-1, les mots : « fournisseur de services de communications électroniques » sont remplacés par les mots : « responsable de traitement » et la référence : « du II » est supprimée ;

6° L’article 226-19 est ainsi modifié :

a) Après le mot : « loi », sont insérés les mots : « de traiter de manière informatisée, » ;

b) Il est ajouté un alinéa ainsi rédigé :

« Ces dispositions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles. » ;

7° À l’article 226-20, les mots : « ou par la déclaration préalable » sont remplacés par les mots : «, par la déclaration préalable ou au-delà de la durée indiquée lors de l’inscription du traitement au registre du responsable du traitement » ;

8° À l’article 226-21, après les mots : « de ce traitement », sont insérés les mots : « ou définie lors de l’inscription du traitement au registre du responsable de traitement » ;

9° À l’article 226-22-1, les mots : « la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes » sont remplacés par les mots : « l’Union européenne en violation des mesures prises par la Commission européenne » ;

10° L’article 226-23 est ainsi rédigé :

« Art. 226 -23. – Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes d’information ou de droit d’accès des personnes concernées, conformément aux articles 12 à 15 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d’emprisonnement et de 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. » ;

11° Après l’article 226-23, il est inséré un article 226-23-… ainsi rédigé :

« Art. 226 -23 - … – Hors les cas prévus par la loi, le fait pour un responsable de traitement de données à caractère personnel de ne pas répondre aux demandes de rectification, d’effacement, de limitation ou de portabilité des personnes concernées, conformément aux articles 16 à 20 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, est puni de de cinq ans d’emprisonnement et de 20 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. »

La parole est à Mme Christine Lavarde.

Cet amendement, dans le même esprit que le précédent, vise à harmoniser un certain nombre de dispositions.

La section 5 du chapitre VI du titre II du livre II de la partie législative du code pénal traite des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques. Or, dans la rédaction actuelle, elle n’est plus en parfaite cohérence avec la rédaction de la loi Informatique et libertés, telle qu’elle découlera de l’adoption du présent projet de loi.

Par ailleurs, les contraventions prévues dans les articles réglementaires du code pénal aux articles R. 625-10 à R. 625-13, et qui relèvent d’un décret en Conseil d’État, visent des faits classés par le RGPD parmi les manquements les plus graves. Ces faits devraient donc être requalifiés en délits, et placés au même niveau que les autres infractions.

Enfin, il n’est pas prévu, dans le projet de loi actuel, de sanctionner le non-respect de l’ensemble des nouveaux droits et obligations introduits par le RGPD.

Le présent amendement a donc un double objet.

D’une part, il vise à harmoniser le montant des sanctions prévues dans la section du code pénal précédemment mentionnée et celles qui figureront dans la loi Informatique et libertés une fois que le texte que nous examinons aura été adopté.

D’autre part, il procède à certaines mises à jour du contenu d’autres articles du code pénal, afin de tenir compte des nouveautés introduites par l’entrée en vigueur du RGPD.

Quel est l’avis de la commission ?

Nous demandons également le retrait de cet amendement, car la même confusion est créée entre sanctions administratives et pénales.

Les sanctions administratives que la CNIL pourra imposer doivent être bien distinguées des sanctions prononcées par les juridictions pénales. Le RGPD renvoie au droit des États membres sur ce point et, à ce titre, le code pénal réprime déjà plusieurs infractions sanctionnant la méconnaissance de la loi Informatique et libertés.

L’échelle des peines et l’architecture globale des sanctions pénales mériteraient sûrement d’être actualisées, mais la rédaction choisie n’est pas la bonne.

Quel est l’avis du Gouvernement ?

Il est également défavorable.

Le Gouvernement n’est pas opposé au principe d’un durcissement de la répression des infractions pénales applicables en cas de non-respect des règles relatives à la protection des données personnelles. Il nous semble néanmoins difficile de souscrire aux qualifications et peines proposées, qui apparaissent manifestement excessives.

Contrairement à l’amende administrative, l’amende pénale applicable aux personnes morales est déjà cinq fois supérieure à celle qui est encourue par les personnes physiques. Ainsi, en cas de violation des règles applicables au traitement de données personnelles, c’est une amende de 300 000 euros qui est actuellement encourue par les personnes physiques et de 1, 5 million d’euros par les personnes morales !

Fixer l’amende à 5 millions, 10 millions ou 20 millions d’euros et, dans le cas d’une entreprise, jusqu’à 1 %, 2 % ou 4 % de son chiffre d’affaires, revient à infliger aux personnes morales autres que des entreprises – les fondations, les associations ou les communes, par exemple – des amendes pouvant atteindre 100 millions d’euros. Cela nous paraît un peu disproportionné.

C’est le Monopoly !

La parole est à Mme Christine Lavarde, pour explication de vote.

Afin de gagner du temps, je vais retirer cet amendement, mais en formulant les deux propositions que je viens de faire, j’avais tout de même la volonté d’attirer l’attention sur l’extrême hétérogénéité des sanctions. Ces amendements ont été discutés, notamment, avec des professionnels du secteur, qui se disent eux-mêmes perdus.

Vous l’avez remarqué, madame le rapporteur, madame la ministre, il y a superposition de différents cadres réglementaires et confusion entre sanctions pénales et sanctions administratives. De ce fait, il sera certainement nécessaire de prévoir des documents de communication, des fascicules explicatifs afin que chacun comprenne bien dans quelle situation il se trouve.

Je pense que le message est passé !

Je retire l’amendement.

L’amendement n° 57 rectifié bis est retiré.

Je mets aux voix l’article 6, modifié.

Nous en revenons à l’article 5, précédemment réservé.

L’amendement n° 33, présenté par Mme M. Carrère, est ainsi libellé :

I. – Alinéas 4, 10 et 14

Après les mots :

des autres États membres de l’Union européenne

insérer les mots :

, sous réserve de leur application dudit règlement,

II. – Alinéa 23

Après le mot :

précité

insérer les mots :

, sous réserve de l’application dudit règlement par l’État membre de l’autorité de contrôle chef de file

La parole est à Mme Maryse Carrère.

Avec cet amendement, nous souhaitons insister sur la nécessité d’exiger de nos partenaires européens qu’ils appliquent le règlement RGPD avec la même rigueur que celle que nous nous imposerons.

La création d’une coopération entre autorités de contrôle n’aura pas d’effet positif sur la protection des données personnelles des citoyens européens si certains États membres adoptent des stratégies non coopératives.

Il est à prévoir que la mise en œuvre de cette coopération puisse, dans les premiers temps de l’application, donner lieu à certains flottements, tant le mécanisme est innovant.

Cette réciprocité est d’autant plus nécessaire que, jusqu’à présent, le législateur français s’est appliqué à assurer un niveau très élevé de protection des données personnelles.

L’amendement n° 33, présenté par Mme M. Carrère, est ainsi libellé :

I. – Alinéas 4, 10 et 14

Après les mots :

des autres États membres de l’Union européenne

insérer les mots :

, sous réserve de leur application dudit règlement,

II. – Alinéa 23

Après le mot :

précité

insérer les mots :

, sous réserve de l’application dudit règlement par l’État membre de l’autorité de contrôle chef de file

La parole est à Mme Maryse Carrère.

Quel est l’avis de la commission ?

Avec cet amendement, nous souhaitons insister sur la nécessité d’exiger de nos partenaires européens qu’ils appliquent le règlement RGPD avec la même rigueur que celle que nous nous imposerons.

La création d’une coopération entre autorités de contrôle n’aura pas d’effet positif sur la protection des données personnelles des citoyens européens si certains États membres adoptent des stratégies non coopératives.

Il est à prévoir que la mise en œuvre de cette coopération puisse, dans les premiers temps de l’application, donner lieu à certains flottements, tant le mécanisme est innovant.

Cette réciprocité est d’autant plus nécessaire que, jusqu’à présent, le législateur français s’est appliqué à assurer un niveau très élevé de protection des données personnelles.

La commission demande le retrait de cet amendement, contraire au règlement général européen.

Celui-ci, d’application directe, détermine de façon complète les obligations de coopération et d’assistance mutuelle que se doivent les différentes autorités européennes.

Les cas dérogatoires sont limitativement fixés à l’article 61, dont le b) du 4 satisfait partiellement les auteurs de cet amendement. En effet, il est précisé qu’une autorité de contrôle requise ne peut refuser de satisfaire à une demande d’assistance, sauf si « satisfaire à la demande constituerait une violation du présent règlement ou du droit de l’Union ou du droit de l’État membre auquel l’autorité de contrôle qui a reçu la demande est soumise ».

Quel est l’avis de la commission ?

Quel est l’avis du Gouvernement ?

La commission demande le retrait de cet amendement, contraire au règlement général européen.

Celui-ci, d’application directe, détermine de façon complète les obligations de coopération et d’assistance mutuelle que se doivent les différentes autorités européennes.

Les cas dérogatoires sont limitativement fixés à l’article 61, dont le b) du 4 satisfait partiellement les auteurs de cet amendement. En effet, il est précisé qu’une autorité de contrôle requise ne peut refuser de satisfaire à une demande d’assistance, sauf si « satisfaire à la demande constituerait une violation du présent règlement ou du droit de l’Union ou du droit de l’État membre auquel l’autorité de contrôle qui a reçu la demande est soumise ».

Le Gouvernement partage la position de la commission.

Quel est l’avis du Gouvernement ?

Je retire l’amendement.

Le Gouvernement partage la position de la commission.

L’amendement n° 33 est retiré.

L’amendement n° 128, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 12, seconde phrase

Après les mots :

sous son autorité

insérer les mots :

et son contrôle

La parole est à M. Jérôme Durain.

Je retire l’amendement.

Le RGPD renforce la coopération européenne en matière de protection des données personnelles. Il instaure un système d’action cohérente et d’assistance mutuelle entre les différentes autorités compétentes. Dans ce cadre, la CNIL pourra être amenée à réaliser des opérations conjointes avec les autorités de contrôle des autres États membres.

Lorsqu’une opération de contrôle conjointe se déroule sur le territoire français, les membres et agents de la CNIL sont présents aux côtés des membres et agents des autres autorités de contrôle participant à l’opération. Le droit national s’impose. Il ressort en effet de la négociation du RGPD le souci des États membres de veiller au respect de la souveraineté nationale.

À cet égard, le règlement prévoit une marge de manœuvre laissée aux États membres concernant les pouvoirs d’enquête confiés aux membres et agents associés aux opérations conjointes.

En conséquence, lorsque le président de la CNIL habilite les membres et agents de ces autorités à participer à des opérations se déroulant sur le territoire national, il convient de préciser que ces derniers exercent sous son autorité, mais également sous son contrôle, tout ou partie des pouvoirs de vérification et d’enquête dont disposent les agents de la CNIL.

L’amendement n° 33 est retiré.

L’amendement n° 128, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 12, seconde phrase

Après les mots :

sous son autorité

insérer les mots :

et son contrôle

La parole est à M. Jérôme Durain.

Quel est l’avis de la commission ?

Le RGPD renforce la coopération européenne en matière de protection des données personnelles. Il instaure un système d’action cohérente et d’assistance mutuelle entre les différentes autorités compétentes. Dans ce cadre, la CNIL pourra être amenée à réaliser des opérations conjointes avec les autorités de contrôle des autres États membres.

Lorsqu’une opération de contrôle conjointe se déroule sur le territoire français, les membres et agents de la CNIL sont présents aux côtés des membres et agents des autres autorités de contrôle participant à l’opération. Le droit national s’impose. Il ressort en effet de la négociation du RGPD le souci des États membres de veiller au respect de la souveraineté nationale.

À cet égard, le règlement prévoit une marge de manœuvre laissée aux États membres concernant les pouvoirs d’enquête confiés aux membres et agents associés aux opérations conjointes.

En conséquence, lorsque le président de la CNIL habilite les membres et agents de ces autorités à participer à des opérations se déroulant sur le territoire national, il convient de préciser que ces derniers exercent sous son autorité, mais également sous son contrôle, tout ou partie des pouvoirs de vérification et d’enquête dont disposent les agents de la CNIL.

Favorable.

Quel est l’avis de la commission ?

Quel est l’avis du Gouvernement ?

Favorable.

Il est défavorable.

Comme cela vient d’être exposé, l’amendement tend à préciser que, lorsque le président de la CNIL habilite des agents d’une autorité de protection des données étrangère, les opérations de contrôle concernées sont menées, non seulement sous son autorité – ce que prévoit déjà le projet de loi –, mais également sous son contrôle.

La formulation utilisée ne nous semble pas cohérente avec celle du 3 de l’article 62 du RGPD, prévoyant que les pouvoirs d’enquête de l’autorité de contrôle étrangère sont exercés « sous l’autorité et en présence de membres ou d’agents de l’autorité de contrôle d’accueil ».

La CNIL exerce donc son autorité lors des opérations conjointes par la présence de ses membres ou agents – aux termes de cet article 62 –, sans qu’il faille préciser que ces opérations ont lieu sous son contrôle.

L’article 5 du projet de loi, dans sa rédaction actuelle, est conforme au règlement de l’Union européenne et il n’est pas nécessaire, de mon point de vue, d’effectuer l’ajout proposé, dès lors que les autres États membres n’adopteraient pas une rédaction similaire.

Quel est l’avis du Gouvernement ?

Je mets aux voix l’amendement n° 128.

Il est défavorable.

Comme cela vient d’être exposé, l’amendement tend à préciser que, lorsque le président de la CNIL habilite des agents d’une autorité de protection des données étrangère, les opérations de contrôle concernées sont menées, non seulement sous son autorité – ce que prévoit déjà le projet de loi –, mais également sous son contrôle.

La formulation utilisée ne nous semble pas cohérente avec celle du 3 de l’article 62 du RGPD, prévoyant que les pouvoirs d’enquête de l’autorité de contrôle étrangère sont exercés « sous l’autorité et en présence de membres ou d’agents de l’autorité de contrôle d’accueil ».

La CNIL exerce donc son autorité lors des opérations conjointes par la présence de ses membres ou agents – aux termes de cet article 62 –, sans qu’il faille préciser que ces opérations ont lieu sous son contrôle.

L’article 5 du projet de loi, dans sa rédaction actuelle, est conforme au règlement de l’Union européenne et il n’est pas nécessaire, de mon point de vue, d’effectuer l’ajout proposé, dès lors que les autres États membres n’adopteraient pas une rédaction similaire.

Je mets aux voix l’amendement n° 128.

Je suis saisi de deux amendements identiques.

L’amendement n° 150 est présenté par M. L. Hervé.

L’amendement n° 154 est présenté par Mme Joissains, au nom de la commission.

Ces deux amendements sont ainsi libellés :

I. – Alinéa 24

Remplacer la référence :

III

par la référence :

II

II. – Alinéa 25, première phrase

Remplacer la référence :

II

par la référence :

III

La parole est à M. Loïc Hervé, pour présenter l’amendement n° 150.

Cet amendement, identique à l’amendement suivant de Mme le rapporteur, justifie pleinement que l’examen de l’article 5 ait été réservé, nous permettant ainsi d’examiner l’article 6 au préalable. Il s’agit, en effet, d’un amendement de coordination.

Je suis saisi de deux amendements identiques.

L’amendement n° 150 est présenté par M. L. Hervé.

L’amendement n° 154 est présenté par Mme Joissains, au nom de la commission.

Ces deux amendements sont ainsi libellés :

I. – Alinéa 24

Remplacer la référence :

III

par la référence :

II

II. – Alinéa 25, première phrase

Remplacer la référence :

II

par la référence :

III

La parole est à M. Loïc Hervé, pour présenter l’amendement n° 150.

La parole est à Mme le rapporteur, pour présenter l’amendement n° 154.

Cet amendement, identique à l’amendement suivant de Mme le rapporteur, justifie pleinement que l’examen de l’article 5 ait été réservé, nous permettant ainsi d’examiner l’article 6 au préalable. Il s’agit, en effet, d’un amendement de coordination.

Il s’agit bien d’un amendement de coordination avec le chaînage précédemment évoqué.

La parole est à Mme le rapporteur, pour présenter l’amendement n° 154.

Quel est l’avis du Gouvernement ?

Il s’agit bien d’un amendement de coordination avec le chaînage précédemment évoqué.

Favorable.

Quel est l’avis du Gouvernement ?

Je mets aux voix les amendements identiques n° 150 et 154.

Favorable.

Je mets aux voix les amendements identiques n° 150 et 154.

Je mets aux voix l’article 5, modifié.

Je mets aux voix l’article 5, modifié.

L’amendement n° 48 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :

Après l’article 6

Insérer un article additionnel ainsi rédigé :

Le Président de la Commission nationale de l’informatique et des libertés établit, après avis de ses membres, une charte de déontologie énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de délégué à la protection des données dans les administrations publiques.

La parole est à M. Alain Marc.

Le délégué à la protection des données est chargé de mettre en œuvre la conformité au règlement général sur la protection des données au sein de l’organisme qui l’a désigné, et ce pour l’ensemble des traitements auxquels cet organisme a recours.

La désignation d’un délégué est obligatoire pour les autorités ou les organismes publics. Elle s’effectue sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions.

Du fait de ces attributions sensibles, il semble cohérent que le mouvement déontologique à l’œuvre dans l’ensemble de la sphère publique s’applique également à la fonction de DPO.

La particularité de son office plaide également pour des dispositions déontologiques spécifiques, que la CNIL serait le plus à même d’identifier. Un tel document, associé aux chartes existant déjà dans le secteur privé, pourrait en outre contribuer à mieux définir les bonnes pratiques pour l’ensemble des DPO.

L’amendement n° 48 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :

Après l’article 6

Insérer un article additionnel ainsi rédigé :

Le Président de la Commission nationale de l’informatique et des libertés établit, après avis de ses membres, une charte de déontologie énonçant les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de délégué à la protection des données dans les administrations publiques.

La parole est à M. Alain Marc.

Quel est l’avis de la commission ?

Le délégué à la protection des données est chargé de mettre en œuvre la conformité au règlement général sur la protection des données au sein de l’organisme qui l’a désigné, et ce pour l’ensemble des traitements auxquels cet organisme a recours.

La désignation d’un délégué est obligatoire pour les autorités ou les organismes publics. Elle s’effectue sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions.

Du fait de ces attributions sensibles, il semble cohérent que le mouvement déontologique à l’œuvre dans l’ensemble de la sphère publique s’applique également à la fonction de DPO.

La particularité de son office plaide également pour des dispositions déontologiques spécifiques, que la CNIL serait le plus à même d’identifier. Un tel document, associé aux chartes existant déjà dans le secteur privé, pourrait en outre contribuer à mieux définir les bonnes pratiques pour l’ensemble des DPO.

Cet amendement introduit une notion de déontologie, au moment même où les DPO vont être désignés. S’agissant d’une fonction nouvelle, la commission était assez dubitative sur cette proposition. Pour ma part, je voterai l’amendement.

Quel est l’avis de la commission ?

Quel est l’avis du Gouvernement ?

Cet amendement introduit une notion de déontologie, au moment même où les DPO vont être désignés. S’agissant d’une fonction nouvelle, la commission était assez dubitative sur cette proposition. Pour ma part, je voterai l’amendement.

Il est défavorable.

Cet amendement vise à prévoir que le président de la CNIL établit une charte de déontologie propre aux délégués à la protection des données dans les administrations publiques. Pour le Gouvernement, il n’est pas indispensable de confier cette nouvelle mission à la CNIL.

Dès lors que le G29, le groupe de travail des autorités de contrôle européennes, établit des lignes directrices pour la fonction de délégué à la protection des données, il n’y a pas lieu, en tout cas, de l’inscrire dans la loi. L’énonciation de tels principes déontologiques et des bonnes pratiques propres à l’exercice de cette mission peut effectivement s’effectuer par le biais de circulaires.

Quel est l’avis du Gouvernement ?

Dois-je considérer que la commission s’en remet à la sagesse du Sénat, madame le rapporteur ?

Il est défavorable.

Cet amendement vise à prévoir que le président de la CNIL établit une charte de déontologie propre aux délégués à la protection des données dans les administrations publiques. Pour le Gouvernement, il n’est pas indispensable de confier cette nouvelle mission à la CNIL.

Dès lors que le G29, le groupe de travail des autorités de contrôle européennes, établit des lignes directrices pour la fonction de délégué à la protection des données, il n’y a pas lieu, en tout cas, de l’inscrire dans la loi. L’énonciation de tels principes déontologiques et des bonnes pratiques propres à l’exercice de cette mission peut effectivement s’effectuer par le biais de circulaires.

Tout à fait, monsieur le président.

Dois-je considérer que la commission s’en remet à la sagesse du Sénat, madame le rapporteur ?

Je mets aux voix l’amendement n° 48 rectifié bis.

Tout à fait, monsieur le président.

Je mets aux voix l’amendement n° 48 rectifié bis.

En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 6.

Chapitre II

Dispositions relatives à certaines catégories de données

En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 6.

Chapitre II

Dispositions relatives à certaines catégories de données

L’amendement n° 137, présenté par Mme S. Robert, MM. Durain, Sutour, Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 3

Après le mot :

révèlent

Insérer les mots :

directement ou indirectement

La parole est à Mme Sylvie Robert.

Cet amendement tend à reprendre, à l’alinéa 3 de cet article, la formulation du premier alinéa de l’article 8 de la loi de 1978, dans sa version actuelle. Il peut apparaître purement rédactionnel, mais il a toute son importance. Ou alors il faudra m’expliquer pour quelle raison les termes « directement ou indirectement » ont été supprimés du texte…

L’amendement n° 137, présenté par Mme S. Robert, MM. Durain, Sutour, Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 3

Après le mot :

révèlent

Insérer les mots :

directement ou indirectement

La parole est à Mme Sylvie Robert.

Quel est l’avis de la commission ?

Cet amendement tend à reprendre, à l’alinéa 3 de cet article, la formulation du premier alinéa de l’article 8 de la loi de 1978, dans sa version actuelle. Il peut apparaître purement rédactionnel, mais il a toute son importance. Ou alors il faudra m’expliquer pour quelle raison les termes « directement ou indirectement » ont été supprimés du texte…

Nous demandons le retrait de cet amendement, car la nuance proposée par ses auteurs pour les données dites sensibles ne figure pas dans l’article 9 du RGPD. Or l’objet même du présent article est d’harmoniser la loi Informatique et libertés avec le règlement.

Quel est l’avis de la commission ?

Quel est l’avis du Gouvernement ?

Nous demandons le retrait de cet amendement, car la nuance proposée par ses auteurs pour les données dites sensibles ne figure pas dans l’article 9 du RGPD. Or l’objet même du présent article est d’harmoniser la loi Informatique et libertés avec le règlement.

Nous partageons la position de la commission.

Quel est l’avis du Gouvernement ?

La parole est à M. Jean-Pierre Sueur, pour explication de vote.

Nous partageons la position de la commission.

Même s’il s’agit ici de transposer, on a tout de même le droit de respecter la loi de 1978 et son esprit !

Nous évoquons des données à caractère personnel révélant la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques et biométriques. La matière est donc très sensible et il n’est pas du tout négligeable que la révélation soit directe ou indirecte. Vous savez très bien, mes chers collègues, que certains indices peuvent être tout à fait indirects. Il y a là une question absolument cruciale pour la protection des personnes.

La parole est à M. Jean-Pierre Sueur, pour explication de vote.

Je mets aux voix l’amendement n° 137.

Même s’il s’agit ici de transposer, on a tout de même le droit de respecter la loi de 1978 et son esprit !

Nous évoquons des données à caractère personnel révélant la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques et biométriques. La matière est donc très sensible et il n’est pas du tout négligeable que la révélation soit directe ou indirecte. Vous savez très bien, mes chers collègues, que certains indices peuvent être tout à fait indirects. Il y a là une question absolument cruciale pour la protection des personnes.

Je mets aux voix l’amendement n° 137.

L’amendement n° 20 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :

Après l’alinéa 3

Insérer un alinéa ainsi rédigé :

« Il est interdit de traiter des données à caractère personnel collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale. » ;

La parole est à M. Alain Marc.

Cet amendement tend à protéger les jeunes élèves en instituant une interdiction de traitement des données à caractère personnel collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale.

Il vise à inscrire dans le droit une obligation souvent présente dans les conditions générales d’utilisation des services numériques de l’éducation nationale. La protection de la vie privée et des données personnelles des élèves du premier et du second cycles est essentielle et ne peut être négligée.

Il faut donc instituer une véritable protection pour ces publics fragiles, souvent imprudents, sur les supports numériques, avec leurs données personnelles.

L’amendement n° 20 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants - République et Territoires, est ainsi libellé :

Après l’alinéa 3

Insérer un alinéa ainsi rédigé :

« Il est interdit de traiter des données à caractère personnel collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale. » ;

La parole est à M. Alain Marc.

Quel est l’avis de la commission ?

Cet amendement tend à protéger les jeunes élèves en instituant une interdiction de traitement des données à caractère personnel collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale.

Il vise à inscrire dans le droit une obligation souvent présente dans les conditions générales d’utilisation des services numériques de l’éducation nationale. La protection de la vie privée et des données personnelles des élèves du premier et du second cycles est essentielle et ne peut être négligée.

Il faut donc instituer une véritable protection pour ces publics fragiles, souvent imprudents, sur les supports numériques, avec leurs données personnelles.

Cet amendement aborde un point important. Néanmoins, sa rédaction est beaucoup trop large et l’interdiction proposée risque de paralyser l’activité des établissements, où la gestion des élèves et des notes est, aujourd’hui, souvent très dématérialisée.

La commission formule donc une demande de retrait.

Toutefois, et plusieurs personnes reçues en audition nous en ont fait part, nous abordons ici, indirectement, un problème important : l’insuffisance de la protection des traitements de données scolaires et l’impréparation de l’éducation nationale face à la mise en conformité au règlement général de protection des données.

Il serait souhaitable que le Gouvernement nous éclaire et nous rassure sur ce point.

Quel est l’avis de la commission ?

Quel est l’avis du Gouvernement ?

Cet amendement aborde un point important. Néanmoins, sa rédaction est beaucoup trop large et l’interdiction proposée risque de paralyser l’activité des établissements, où la gestion des élèves et des notes est, aujourd’hui, souvent très dématérialisée.

La commission formule donc une demande de retrait.

Toutefois, et plusieurs personnes reçues en audition nous en ont fait part, nous abordons ici, indirectement, un problème important : l’insuffisance de la protection des traitements de données scolaires et l’impréparation de l’éducation nationale face à la mise en conformité au règlement général de protection des données.

Il serait souhaitable que le Gouvernement nous éclaire et nous rassure sur ce point.

Le Gouvernement partage évidemment l’objectif des auteurs de l’amendement, à savoir garantir aux élèves et à leurs familles la protection des données personnelles collectées dans le cadre scolaire. Il s’agit d’ailleurs d’une priorité de la politique conduite par le ministère de l’éducation nationale en matière de développement des outils numériques.

Je rappelle que le ministère, je l’indiquais dans mon propos introductif, a mis en œuvre un traitement de données personnelles dénommé « Gestionnaire d’accès aux ressources », dont l’objet est de rationaliser la communication des données aux fournisseurs de ressources ou de services. Cet outil permet donc, en vue de respecter le principe de minimisation des données, de ne transmettre aux fournisseurs de ressources ou de services que des données strictement nécessaires aux accès des élèves et des enseignants à ces ressources.

L’amendement proposé porte sur l’ensemble des données collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale. Il concerne donc potentiellement tous les services numériques utilisés dans les établissements scolaires par les élèves et les enseignants et, par conséquent, va au-delà des outils numériques proposés par les géants du web, les GAFAM.

L’interdiction s’appliquerait aux espaces numériques de travail, les fameux ENT, qui sont extrêmement utiles aux parents et aux élèves, ainsi qu’à toutes les applications susceptibles d’être utilisées dans les établissements scolaires.

Le Gouvernement est donc défavorable à cet amendement.

Quel est l’avis du Gouvernement ?

La parole est à M. Loïc Hervé, pour explication de vote.

Le Gouvernement partage évidemment l’objectif des auteurs de l’amendement, à savoir garantir aux élèves et à leurs familles la protection des données personnelles collectées dans le cadre scolaire. Il s’agit d’ailleurs d’une priorité de la politique conduite par le ministère de l’éducation nationale en matière de développement des outils numériques.

Je rappelle que le ministère, je l’indiquais dans mon propos introductif, a mis en œuvre un traitement de données personnelles dénommé « Gestionnaire d’accès aux ressources », dont l’objet est de rationaliser la communication des données aux fournisseurs de ressources ou de services. Cet outil permet donc, en vue de respecter le principe de minimisation des données, de ne transmettre aux fournisseurs de ressources ou de services que des données strictement nécessaires aux accès des élèves et des enseignants à ces ressources.

L’amendement proposé porte sur l’ensemble des données collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale. Il concerne donc potentiellement tous les services numériques utilisés dans les établissements scolaires par les élèves et les enseignants et, par conséquent, va au-delà des outils numériques proposés par les géants du web, les GAFAM.

L’interdiction s’appliquerait aux espaces numériques de travail, les fameux ENT, qui sont extrêmement utiles aux parents et aux élèves, ainsi qu’à toutes les applications susceptibles d’être utilisées dans les établissements scolaires.

Le Gouvernement est donc défavorable à cet amendement.

C’est un amendement que je ne voterai pas, notamment pour la raison qui a été évoquée : le champ qu’il recouvre est trop vaste.

S’il y a un cumul des mandats qu’on ne m’a pas interdit, c’est celui de sénateur et de père de famille.

On a parlé des petites communes, des petites associations, des petites entreprises, mais, là, on parle d’un grand employeur public, l’un des plus grands du monde après l’armée chinoise : l’éducation nationale.

On peut toujours parler des services périscolaires gérés par les communes… Mais la manière dont les données personnelles sont collectées et gérées par l’éducation nationale est totalement hallucinante. La loi de 1978 n’est absolument pas appliquée ! Or tout un tas d’informations sont collectées tout au long de l’année scolaire : l’identité des enfants, leur photographie, l’identité des parents, leurs revenus et parfois même, par incise, leurs convictions religieuses – si le régime alimentaire de l’élève exclut la consommation de porc à la cantine du collège, on sait très bien qu’il est musulman ou juif. Toutes ces données, qui sont des données personnelles, ne sont jamais gérées comme telles.

L’interdiction proposée à travers cet amendement est sans doute un peu excessive. En revanche, mettre le doigt sur la manière dont les données personnelles sont gérées par la plus grande administration de l’État qu’est l’éducation nationale est absolument essentiel. Dans la formation des enseignants, notamment des instituteurs – les professeurs des écoles –, au sein des ESPE, les écoles supérieures du professorat et de l’éducation, les questions relatives aux données personnelles, aux droits d’auteur et au respect de la propriété intellectuelle échappent complètement aux radars. Il faut vraiment avancer sur ces questions. Il y a urgence à passer de l’Antiquité aux temps modernes !

La parole est à M. Loïc Hervé, pour explication de vote.

Très bien !

C’est un amendement que je ne voterai pas, notamment pour la raison qui a été évoquée : le champ qu’il recouvre est trop vaste.

S’il y a un cumul des mandats qu’on ne m’a pas interdit, c’est celui de sénateur et de père de famille.

On a parlé des petites communes, des petites associations, des petites entreprises, mais, là, on parle d’un grand employeur public, l’un des plus grands du monde après l’armée chinoise : l’éducation nationale.

On peut toujours parler des services périscolaires gérés par les communes… Mais la manière dont les données personnelles sont collectées et gérées par l’éducation nationale est totalement hallucinante. La loi de 1978 n’est absolument pas appliquée ! Or tout un tas d’informations sont collectées tout au long de l’année scolaire : l’identité des enfants, leur photographie, l’identité des parents, leurs revenus et parfois même, par incise, leurs convictions religieuses – si le régime alimentaire de l’élève exclut la consommation de porc à la cantine du collège, on sait très bien qu’il est musulman ou juif. Toutes ces données, qui sont des données personnelles, ne sont jamais gérées comme telles.

L’interdiction proposée à travers cet amendement est sans doute un peu excessive. En revanche, mettre le doigt sur la manière dont les données personnelles sont gérées par la plus grande administration de l’État qu’est l’éducation nationale est absolument essentiel. Dans la formation des enseignants, notamment des instituteurs – les professeurs des écoles –, au sein des ESPE, les écoles supérieures du professorat et de l’éducation, les questions relatives aux données personnelles, aux droits d’auteur et au respect de la propriété intellectuelle échappent complètement aux radars. Il faut vraiment avancer sur ces questions. Il y a urgence à passer de l’Antiquité aux temps modernes !

La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

Très bien !

Je l’ai dit dans la discussion générale, il est temps que les services de l’État sortent de l’ambiguïté quand ils concluent des marchés portant sur le traitement des données. C’est non sous ce gouvernement, mais sous le précédent que l’éducation nationale a contractualisé avec Google et Microsoft, sans aucun appel d’offres d’ailleurs, ce qui est très problématique…

La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

Scandaleux, même !

Je l’ai dit dans la discussion générale, il est temps que les services de l’État sortent de l’ambiguïté quand ils concluent des marchés portant sur le traitement des données. C’est non sous ce gouvernement, mais sous le précédent que l’éducation nationale a contractualisé avec Google et Microsoft, sans aucun appel d’offres d’ailleurs, ce qui est très problématique…

… quand on connaît les conditions d’utilisation par ces entreprises extra-européennes des données personnelles ; il n’est nullement garanti qu’elles soient protégées.

Cet après-midi même je m’entretenais avec le directeur de cabinet de M. Blanquer de ces questions dans le cadre de la préparation des travaux que j’évoquais également tout à l’heure. Il m’a dit qu’il était temps en effet que nous sortions de l’ambiguïté.

Votre question, monsieur Marc, n’est pas du tout infondée. Elle soulève au contraire un vrai problème et pose en même temps une exigence à laquelle il va falloir satisfaire. Un gros travail est actuellement conduit pour se mettre en conformité et en ordre de marche.

Loïc Hervé évoquait les ESPE. J’ai pu constater que se mettent en place des modules de sensibilisation aux bons choix technologiques à faire, à toutes ces questions de propriété intellectuelle et de droits d’auteur, au respect des données personnelles. La route est encore longue, mais la volonté semble là. Il faudra certainement des moyens. En attendant, il y a toujours lieu, à l’heure actuelle, de se poser des questions.

Mme la rapporteur a raison, ces données servent aussi à des projets pédagogiques en classe. Il faut donc rester extrêmement vigilant au respect des enfants et des autorisations données par les parents. C’est pourquoi l’encadrement doit être clarifié.

Scandaleux, même !

Très bien !

… quand on connaît les conditions d’utilisation par ces entreprises extra-européennes des données personnelles ; il n’est nullement garanti qu’elles soient protégées.

Cet après-midi même je m’entretenais avec le directeur de cabinet de M. Blanquer de ces questions dans le cadre de la préparation des travaux que j’évoquais également tout à l’heure. Il m’a dit qu’il était temps en effet que nous sortions de l’ambiguïté.

Votre question, monsieur Marc, n’est pas du tout infondée. Elle soulève au contraire un vrai problème et pose en même temps une exigence à laquelle il va falloir satisfaire. Un gros travail est actuellement conduit pour se mettre en conformité et en ordre de marche.

Loïc Hervé évoquait les ESPE. J’ai pu constater que se mettent en place des modules de sensibilisation aux bons choix technologiques à faire, à toutes ces questions de propriété intellectuelle et de droits d’auteur, au respect des données personnelles. La route est encore longue, mais la volonté semble là. Il faudra certainement des moyens. En attendant, il y a toujours lieu, à l’heure actuelle, de se poser des questions.

Mme la rapporteur a raison, ces données servent aussi à des projets pédagogiques en classe. Il faut donc rester extrêmement vigilant au respect des enfants et des autorisations données par les parents. C’est pourquoi l’encadrement doit être clarifié.

Monsieur Marc, l’amendement n° 20 rectifié bis est-il maintenu ?

Très bien !

Il s’agissait évidemment d’un amendement d’appel, qui porte sur une problématique extrêmement importante.

Loïc Hervé et Catherine Morin-Desailly ont évoqué les ESPE. Or la formation qui y est dispensée ne comporte pas de modules approfondis sur ces sujets. Si nous ne voulons pas être confrontés demain à bien des difficultés, il va falloir que l’éducation nationale s’y attelle. Ce champ reste donc à ouvrir.

Nous avons évoqué précédemment les objets connectés, la façon de s’en servir, ce qu’ils peuvent induire dans nos vies personnelles. De la même façon, je souhaite que le Sénat, qui, comme chacun le sait, est protecteur des libertés publiques et aussi des libertés privées, ouvre ce nouveau champ de réflexion.

Cela étant, je retire mon amendement.

Monsieur Marc, l’amendement n° 20 rectifié bis est-il maintenu ?

L’amendement n° 20 rectifié bis est retiré.

Je suis saisi de deux amendements identiques.

L’amendement n° 6 rectifié septies est présenté par Mme Bruguière, M. Bansard, Mme Goy-Chavent, M. A. Marc, Mme Deromedi, MM. D. Laurent, Henno et Sol, Mmes Garriaud-Maylam et Renaud-Garabedian, MM. Poniatowski, de Nicolaÿ, Bonhomme, Milon et B. Fournier, Mmes Lamure, Billon et Bonfanti-Dossat, M. Bonne, Mme Bories, MM. Brisson, Lefèvre et Guerriau, Mmes Morhet-Richaud, Eustache-Brinio et Mélot, MM. Lagourgue et Bouchet, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi.

L’amendement n° 64 est présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.

Ces deux amendements sont ainsi libellés :

I. – Après l’alinéa 4

Insérer un alinéa ainsi rédigé :

…) Le 4° est complété par les mots : «, dès lors que ces données révèlent à elles seules les informations mentionnées au I » ;

II. – Alinéa 12

Compléter cet alinéa par les mots :

et dont le traitement poursuit l’une des finalités visées aux b, g et j du paragraphe 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

La parole est à M. François Bonhomme, pour présenter l’amendement n° 6 rectifié septies.

Il s’agissait évidemment d’un amendement d’appel, qui porte sur une problématique extrêmement importante.

Loïc Hervé et Catherine Morin-Desailly ont évoqué les ESPE. Or la formation qui y est dispensée ne comporte pas de modules approfondis sur ces sujets. Si nous ne voulons pas être confrontés demain à bien des difficultés, il va falloir que l’éducation nationale s’y attelle. Ce champ reste donc à ouvrir.

Nous avons évoqué précédemment les objets connectés, la façon de s’en servir, ce qu’ils peuvent induire dans nos vies personnelles. De la même façon, je souhaite que le Sénat, qui, comme chacun le sait, est protecteur des libertés publiques et aussi des libertés privées, ouvre ce nouveau champ de réflexion.

Cela étant, je retire mon amendement.

L’objet de cet amendement, dont Mme Bruguière est la première signataire, est, d’une part, d’apporter les précisions manquantes au RGPD et, d’autre part, de corriger certaines contradictions entre le projet de loi et le règlement.

L’article 9 du RGPD manque de précision en n’interdisant pas explicitement les traitements qui, recoupant des données non sensibles que la personne concernée a publiées, visent à reconstituer des données sensibles, qui, elles, n’ont jamais été publiées par la personne.

De même, cet article n’autorise le traitement de données sensibles que pour certaines finalités dont il dresse la liste exhaustive. Or l’article 8 de la loi de 1978, tel que modifié par le projet de loi, autoriserait les traitements de données sensibles poursuivant n’importe quelle finalité, pour la simple raison qu’une mesure technique serait appliquée : l’anonymisation à bref délai. Cela n’est pas autorisé par le RGPD : cette autorisation doit être limitée à des finalités précises. Cette contradiction doit par conséquent être supprimée.

Pour autant, cette mesure d’anonymisation à bref délai n’est pas sans intérêt. En effet, l’article 9 du RGPD prévoit que, s’agissant de certaines finalités, le traitement de données sensibles n’est licite qu’en présence de « mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ». Pour certaines de ces finalités, la loi de 1978 prévoit effectivement des garanties qui pourraient correspondre à ces « mesures appropriées ». Néanmoins, s’agissant d’autres finalités – celles visées au b, g et j du 2 de l’article 9 du règlement –, la loi n’en prévoit aucune. Ainsi, dans ce cas précis, la mesure d’anonymisation à bref délai pourrait être une des « mesures appropriées » autorisant la poursuite de ces finalités.

L’amendement n° 20 rectifié bis est retiré.

Je suis saisi de deux amendements identiques.

L’amendement n° 6 rectifié septies est présenté par Mme Bruguière, M. Bansard, Mme Goy-Chavent, M. A. Marc, Mme Deromedi, MM. D. Laurent, Henno et Sol, Mmes Garriaud-Maylam et Renaud-Garabedian, MM. Poniatowski, de Nicolaÿ, Bonhomme, Milon et B. Fournier, Mmes Lamure, Billon et Bonfanti-Dossat, M. Bonne, Mme Bories, MM. Brisson, Lefèvre et Guerriau, Mmes Morhet-Richaud, Eustache-Brinio et Mélot, MM. Lagourgue et Bouchet, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi.

L’amendement n° 64 est présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.

Ces deux amendements sont ainsi libellés :

I. – Après l’alinéa 4

Insérer un alinéa ainsi rédigé :

…) Le 4° est complété par les mots : «, dès lors que ces données révèlent à elles seules les informations mentionnées au I » ;

II. – Alinéa 12

Compléter cet alinéa par les mots :

et dont le traitement poursuit l’une des finalités visées aux b, g et j du paragraphe 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

La parole est à M. François Bonhomme, pour présenter l’amendement n° 6 rectifié septies.

La parole est à Mme Esther Benbassa, pour présenter l’amendement n° 64.

L’objet de cet amendement, dont Mme Bruguière est la première signataire, est, d’une part, d’apporter les précisions manquantes au RGPD et, d’autre part, de corriger certaines contradictions entre le projet de loi et le règlement.

L’article 9 du RGPD manque de précision en n’interdisant pas explicitement les traitements qui, recoupant des données non sensibles que la personne concernée a publiées, visent à reconstituer des données sensibles, qui, elles, n’ont jamais été publiées par la personne.

De même, cet article n’autorise le traitement de données sensibles que pour certaines finalités dont il dresse la liste exhaustive. Or l’article 8 de la loi de 1978, tel que modifié par le projet de loi, autoriserait les traitements de données sensibles poursuivant n’importe quelle finalité, pour la simple raison qu’une mesure technique serait appliquée : l’anonymisation à bref délai. Cela n’est pas autorisé par le RGPD : cette autorisation doit être limitée à des finalités précises. Cette contradiction doit par conséquent être supprimée.

Pour autant, cette mesure d’anonymisation à bref délai n’est pas sans intérêt. En effet, l’article 9 du RGPD prévoit que, s’agissant de certaines finalités, le traitement de données sensibles n’est licite qu’en présence de « mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ». Pour certaines de ces finalités, la loi de 1978 prévoit effectivement des garanties qui pourraient correspondre à ces « mesures appropriées ». Néanmoins, s’agissant d’autres finalités – celles visées au b, g et j du 2 de l’article 9 du règlement –, la loi n’en prévoit aucune. Ainsi, dans ce cas précis, la mesure d’anonymisation à bref délai pourrait être une des « mesures appropriées » autorisant la poursuite de ces finalités.

L’objectif de cet amendement identique à celui de Mme Bruguière est double.

D’une part, il vise à préciser l’article 9 du règlement général sur la protection des données en interdisant de manière explicite les traitements qui visent à reconstituer des données sensibles qui n’ont jamais été publiées par la personne.

D’autre part, il tend à corriger une contradiction entre le présent projet de loi et le règlement européen. En effet, l’article 9 du règlement général sur la protection des données n’autorise le traitement de données sensibles que pour certaines finalités dont il dresse une liste exhaustive. Or l’article 8, chapitre III, de la loi de 1978 tel que modifié par le projet de loi, reviendrait à autoriser en cas d’application d’une mesure technique telle l’anonymisation à bref délai les traitements de données sensibles poursuivant n’importe quelle finalité.

Nous considérons que cela est contraire au RGPD : cette autorisation doit être limitée à des finalités précises. Cette contradiction doit être par conséquent supprimée.

La parole est à Mme Esther Benbassa, pour présenter l’amendement n° 64.

Quel est l’avis de la commission ?

L’objectif de cet amendement identique à celui de Mme Bruguière est double.

D’une part, il vise à préciser l’article 9 du règlement général sur la protection des données en interdisant de manière explicite les traitements qui visent à reconstituer des données sensibles qui n’ont jamais été publiées par la personne.

D’autre part, il tend à corriger une contradiction entre le présent projet de loi et le règlement européen. En effet, l’article 9 du règlement général sur la protection des données n’autorise le traitement de données sensibles que pour certaines finalités dont il dresse une liste exhaustive. Or l’article 8, chapitre III, de la loi de 1978 tel que modifié par le projet de loi, reviendrait à autoriser en cas d’application d’une mesure technique telle l’anonymisation à bref délai les traitements de données sensibles poursuivant n’importe quelle finalité.

Nous considérons que cela est contraire au RGPD : cette autorisation doit être limitée à des finalités précises. Cette contradiction doit être par conséquent supprimée.

Au vu de la technicité et de l’importance des sujets traités – les données sensibles – par ces deux amendements, la commission sollicite l’avis du Gouvernement.

Quel est l’avis de la commission ?

Quel est l’avis du Gouvernement ?

Au vu de la technicité et de l’importance des sujets traités – les données sensibles – par ces deux amendements, la commission sollicite l’avis du Gouvernement.

Ces deux amendements identiques, dont le Gouvernement demande le rejet, ont un double objectif.

D’une part, ils tendent à compléter l’article 9 du RGPD, qui, comme vous le savez, est d’application immédiate et totale, sauf s’il est prévu une marge de manœuvre, ce qui ne me semble pas être le cas en l’espèce.

Par ailleurs, ainsi que cela a été indiqué en réponse à l’amendement n° 137, la précision est inutile dès lors qu’est interdit tout traitement qui révèle une donnée sensible au sens de l’article 9 du RGPD.

D’autre part, la dérogation au traitement des données sensibles, si ces traitements font l’objet à bref délai d’un procédé d’anonymisation, est, dans la rédaction du projet de loi, compatible avec le RGPD. Cette disposition, cela vient d’être souligné, est prévue actuellement par l’article 8 de la loi de 1978, et je rappelle que ce procédé d’anonymisation devra avoir été préalablement reconnu conforme à la présente loi par la CNIL. Celle-ci sera vigilante sur la compatibilité de ce processus avec le RGPD.

En outre, cette anonymisation à bref délai sera également utile pour les traitements qui ne relèvent ni du règlement ni de la directive. Il ne semble donc pas pertinent de restreindre le champ de l’anonymisation, comme cela est proposé.

Quel est l’avis du Gouvernement ?

La parole est à M. Simon Sutour, au nom de la commission des affaires européennes.

Ces deux amendements identiques, dont le Gouvernement demande le rejet, ont un double objectif.

D’une part, ils tendent à compléter l’article 9 du RGPD, qui, comme vous le savez, est d’application immédiate et totale, sauf s’il est prévu une marge de manœuvre, ce qui ne me semble pas être le cas en l’espèce.

Par ailleurs, ainsi que cela a été indiqué en réponse à l’amendement n° 137, la précision est inutile dès lors qu’est interdit tout traitement qui révèle une donnée sensible au sens de l’article 9 du RGPD.

D’autre part, la dérogation au traitement des données sensibles, si ces traitements font l’objet à bref délai d’un procédé d’anonymisation, est, dans la rédaction du projet de loi, compatible avec le RGPD. Cette disposition, cela vient d’être souligné, est prévue actuellement par l’article 8 de la loi de 1978, et je rappelle que ce procédé d’anonymisation devra avoir été préalablement reconnu conforme à la présente loi par la CNIL. Celle-ci sera vigilante sur la compatibilité de ce processus avec le RGPD.

En outre, cette anonymisation à bref délai sera également utile pour les traitements qui ne relèvent ni du règlement ni de la directive. Il ne semble donc pas pertinent de restreindre le champ de l’anonymisation, comme cela est proposé.

Je souhaite à cet instant m’exprimer au nom de la commission des affaires européennes.

Il faut rappeler à nos collègues que nous ne sommes pas ici pour réécrire le règlement. Celui-ci a été élaboré au niveau de l’Union européenne au cours d’un processus qui a duré plusieurs années. À l’époque, le Sénat avait voté une proposition de résolution sur le sujet et les points que nous avions alors soulevés ont été pris en compte, ainsi que je l’ai indiqué dans mon intervention lors de la discussion générale.

Là, il s’agit simplement de transposer la directive, voire – nous pouvons avoir ce débat – de la surtransposer. En ce qui concerne le règlement, il est d’application immédiate au 25 mai, et nous devons mettre la législation nationale française en conformité à cette fin.

J’aurais pu faire ce rappel de méthode lors de l’examen d’autres amendements, mais ils ont été retirés. Mme la rapporteur aurait pu s’en charger, mais elle a voulu être gentille avec les auteurs de ces amendements, laissant le mauvais rôle au Gouvernement…

La parole est à M. Simon Sutour, au nom de la commission des affaires européennes.

Je souhaite à cet instant m’exprimer au nom de la commission des affaires européennes.

Il faut rappeler à nos collègues que nous ne sommes pas ici pour réécrire le règlement. Celui-ci a été élaboré au niveau de l’Union européenne au cours d’un processus qui a duré plusieurs années. À l’époque, le Sénat avait voté une proposition de résolution sur le sujet et les points que nous avions alors soulevés ont été pris en compte, ainsi que je l’ai indiqué dans mon intervention lors de la discussion générale.

Là, il s’agit simplement de transposer la directive, voire – nous pouvons avoir ce débat – de la surtransposer. En ce qui concerne le règlement, il est d’application immédiate au 25 mai, et nous devons mettre la législation nationale française en conformité à cette fin.

J’aurais pu faire ce rappel de méthode lors de l’examen d’autres amendements, mais ils ont été retirés. Mme la rapporteur aurait pu s’en charger, mais elle a voulu être gentille avec les auteurs de ces amendements, laissant le mauvais rôle au Gouvernement…

Mme Nicole Belloubet, garde des sceaux. Comme d’habitude !