Séance en hémicycle du 21 mars 2018 à 21h30

Résumé de la séance

Les mots clés de cette séance

  • CNIL
  • directive
  • garde des sceaux
  • personnelles
  • responsable
  • sceaux
  • traitement

La séance

Source

La séance, suspendue à vingt heures cinq, est reprise à vingt et une heures trente-cinq.

Photo de Thani Mohamed Soilihi

La séance est reprise.

Nous poursuivons la discussion du projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles.

Dans la discussion du texte de la commission, nous poursuivons, au sein de l’article 14, les explications de vote sur l’amendement n° 99.

La parole est à M. Pierre Ouzoulias, pour explication de vote.

Debut de section - PermalienPhoto de Pierre Ouzoulias

Ce sera, mes chers collègues, une intervention en deux temps.

Sur la forme, tout d’abord, vous nous opposez une nouvelle fois le problème du temps, monsieur le secrétaire d’État, en évoquant la pression suscitée par la nécessité d’assurer une rentrée sans ombrage.

Vous savez parfaitement, pour l’avoir appris, que c’est le dispositif tactique mis au point par la ministre de l’enseignement supérieur, de la recherche et de l’innovation durant toute la discussion du projet de loi relatif à l’orientation et à la réussite des étudiants, laquelle est même allée jusqu’à promulguer un arrêté avant l’examen du texte au Sénat.

À cette occasion, nous lui avons indiqué avoir les plus grandes craintes quant à la précipitation avec laquelle les différents dispositifs étaient mis en place. Malheureusement, les remontées du terrain nous donnent aujourd’hui raison ! Il aurait fallu prendre un peu plus de temps, afin de réaliser un travail législatif plus approfondi.

Sur le fond, ensuite, je comprends parfaitement votre raisonnement in abstracto, consistant à prendre devant nous l’engagement absolu que tous les dossiers bénéficieront d’un examen individuel et que les algorithmes, s’ils sont employés, seront uniquement constitutifs de la prise de décision pédagogique des jurys.

Toutefois, cela, c’est la théorie ; la pratique, telle qu’elle se dévoile aujourd’hui dans les universités, est tout autre ! Nos collègues universitaires – vous le savez, car vous disposez des mêmes informations que nous – sont confrontés à une avalanche de dossiers que, matériellement, ils ne peuvent pas traiter de manière individuelle. C’est absolument impossible ! Ils ont donc bien évidemment recours à des traitements automatisés.

Même si nous ne pouvons que partager votre volonté que se mette en place un traitement personnalisé de chaque dossier, il faudra bien admettre que, dans certaines situations, les équipes pédagogiques seront contraintes de procéder autrement. Dans de tels cas – exceptionnels selon vous, ordinaires selon nous –, il y a nécessité, sur les fondements juridiques que notre rapporteur a explicités, de rendre possible un examen des algorithmes permettant un traitement automatisé.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

Debut de section - PermalienPhoto de Catherine Morin-Desailly

Je veux rebondir sur les propos de Mme Sylvie Robert, que je partage tout à fait. Je suis également d’accord avec vous, cher Pierre Ouzoulias, sur l’urgence que l’on nous impose sans cesse dans notre travail de législateur. Or pour bien légiférer, pour réaliser les études, mener la réflexion, conduire les concertations, il faut du temps. Je partage tout à fait ce constat.

La contrainte, dans le cadre du projet de loi relatif à l’orientation et à la réussite des étudiants, c’était l’organisation de la rentrée scolaire, prise dans l’étau de la fin du système Admission post-bac, dit « APB », déclaré illégal, et d’une nouvelle procédure à mettre en place. On ne pouvait se permettre une année blanche.

La loi que nous avons votée est désormais en application. Elle a été promulguée voilà quelques jours, après, d’ailleurs, que le Conseil constitutionnel s’est prononcé, validant le travail réalisé dans nos assemblées – je tiens à le dire pour rassurer ceux qui nous écoutent.

Néanmoins, on sait très bien que cette année sera nécessairement une année d’adaptation et de transition, après la disparition d’un ancien système, qui, je le rappelle, était hautement critiquable et que nous avions critiqué à l’époque. C’était un dispositif complètement opaque, dans lequel la décision humaine ne semblait plus avoir sa place pour garantir une orientation utile de nos étudiants.

Je soutiens complètement Mme la rapporteur dans sa proposition consistant, dans le cadre de la CMP – cela nous laissera un peu de temps pour approfondir le sujet –, à rassurer les présidents d’université, les universitaires et les enseignants dans les lycées, qui finalisent actuellement la procédure avec les élèves et les parents accompagnateurs, tout en prenant en compte une exigence accrue de transparence des algorithmes. En effet, notre rapporteur l’a bien dit, il est absolument nécessaire que nous puissions savoir précisément comment ces boîtes noires fonctionnent.

Par ailleurs, n’oublions pas l’élément humain dans cette affaire, car les principaux concernés sont les étudiants.

Pour ma part, je plaide pour que ces outils numériques ne soient que des outils d’aide, éventuelle, à la prise de décision dans le cadre des commissions pédagogiques, mais aussi à l’organisation des vœux et à la réussite de l’orientation. Oui, ils ne doivent être que des outils au service de la réussite des étudiants, afin que leurs aspirations soient bien respectées dans les vœux finaux, pour le succès de leur vie future.

Je me fie donc entièrement à Mme la rapporteur, qui nous indique qu’elle réfléchira d’ici à la CMP pour dégager des solutions pratiques. Nous pouvons ainsi avancer utilement, et je crois que les collègues de la commission de la culture ici présents ne verront rien à y redire.

Mme Sylvie Robert acquiesce.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à Mme Esther Benbassa, pour explication de vote.

Debut de section - PermalienPhoto de Esther Benbassa

Je suis tout à fait d’accord avec Mme Catherine Morin-Desailly.

Monsieur le secrétaire d’État, il faut cesser de nous décrire, comme vous venez de le faire, une version idéale de Parcoursup. Nous avons plus ou moins discuté dans les universités et nous sommes conscients que nous ne pourrons pas gérer les dossiers. Nous passerons par des algorithmes, et vous le savez bien. Nous ne disposons tout simplement pas des moyens en personnel, sachant que nous avons aussi notre travail d’enseignement à assurer.

Peut-être faut-il chercher des solutions pratiques pour que l’on puisse, l’année prochaine, travailler sur ces dossiers d’une manière beaucoup plus humanisée, et pas uniquement à base d’algorithmes. Pour l’heure, nous allons choisir les meilleurs, et pour les autres, on verra…

C’est la vérité ! Il ne faut pas la cacher. Nous sommes les praticiens de Parcoursup. Les mots ne suffisent pas à gérer les problèmes. Nos dirigeants semblent naviguer dans un monde quelque un peu idéalisé, mais nous, nous faisons le travail. Certes, le système que vous proposez est mieux qu’avant, mais ne prétendez pas, monsieur le secrétaire d’État, que ce sera fait par des humains. Hormis une partie des dossiers, peut-être, c’est impossible !

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. Marc Laménie, pour explication de vote.

Debut de section - PermalienPhoto de Marc Laménie

Sur cet amendement n° 99 du Gouvernement, dont M. le secrétaire d’État a largement développé l’objet, je soutiens complètement l’avis circonstancié de la commission des lois. Je partage aussi les propos de Mme la présidente de la commission de la culture, de l’éducation et de la communication, qui a rappelé à quel point la loi que nous avons examinée voilà quelques semaines a constitué un temps fort pour l’enseignement supérieur et la recherche. Différents problèmes ont été abordés et, naturellement, il faut saluer le travail des membres des deux commissions compétentes.

Je tiens donc simplement à apporter un témoignage de soutien. Cet amendement vient à point pour rappeler la nécessité d’une intervention humaine – vous avez longuement évoqué le sujet, madame la garde des sceaux, monsieur le secrétaire d’État –, pour faire évoluer les choses positivement. Il faut rassurer, parce que la situation suscite tout de même des inquiétudes et parce le devenir de la jeunesse et de nos étudiants doit être une priorité.

L ’ amendement n ’ est pas adopté.

L ’ article 14 est adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 24 rectifié bis, présenté par M. A. Marc, Mme Deromedi, M. Bonhomme et les membres du groupe Les Indépendants – République et Territoires, est ainsi libellé :

Après l’article 14

Insérer un article additionnel ainsi rédigé :

Après l’article L. 121-4-1 du code de l’éducation, il est inséré un article L. 121-4-… ainsi rédigé :

« Art. L. 121 -4 - … – Les établissements d’enseignement scolaire mettent à la disposition du public, dans un format accessible à tous et aisément réutilisable, la liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité. »

La parole est à M. Jean-Pierre Decool.

Debut de section - PermalienPhoto de Jean-Pierre Decool

Cet amendement déposé, puis retiré, en première lecture à l’Assemblée nationale vise à inscrire dans le code de l’éducation nationale le principe de la transparence du traitement des données scolaires.

Il s’inscrit dans la perspective d’une meilleure protection des élèves du premier et du second degrés et les prémunit du traitement automatisé de leurs données. À l’heure de l’accélération de l’école du numérique, il est primordial de protéger les jeunes publics d’une utilisation frauduleuse de leurs données et d’assurer, par tous les moyens possibles, la préservation de leur vie privée.

Debut de section - PermalienPhoto de Sophie Joissains

Au regard des débats que nous venons d’avoir, cet amendement m’apparaît plutôt comme un amendement d’appel. En toute sincérité, il n’est pas très réaliste… Néanmoins, par conviction, je laisserai la Haute Assemblée se prononcer.

Sagesse !

Debut de section - Permalien
Nicole Belloubet

Le Gouvernement a conscience, bien entendu, des exigences parfaitement légitimes des parents d’élèves et des enseignants en matière de transparence et de sécurité dans le traitement des données collectées dans le cadre scolaire. Il s’agit d’ailleurs d’une priorité du ministre de l’éducation nationale, dans le cadre de la politique qu’il conduit dans le domaine du développement des outils numériques, en association avec la CNIL.

Néanmoins, il me semble que le RGPD, le règlement général sur la protection des données, impose aux responsables de traitement, pour les établissements publics locaux d’enseignement, les EPLE, et pour les écoles, de tenir un registre des activités de traitement effectuées sous leur responsabilité. Ces registres constitueraient une garantie fondamentale de transparence, d’autant que, comme tout document administratif, ils pourront être communiqués à toute personne intéressée qui en fera la demande.

Ces précautions paraissent d’autant plus nécessaires au vu du texte de l’amendement, imposant la publication d’une liste des traitements à tous les établissements d’enseignement scolaire. Cette imprécision et la multiplicité des établissements visés ne nous permettent pas de garantir que les exigences posées par l’amendement pourront être remplies.

L’avis du Gouvernement est donc défavorable.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. Jean-Pierre Decool, pour explication de vote.

Debut de section - PermalienPhoto de Jean-Pierre Decool

Je vous remercie, madame la rapporteur, d’avoir bien voulu vous en remettre à la sagesse du Sénat. Notre jeunesse a besoin d’être protégée ! Cet amendement tend à s’inscrire, d’une certaine manière, dans la lignée de ceux que j’ai présentés tout à l’heure : il est novateur.

Parce qu’il faut donner un signe fort à l’endroit de cette jeunesse que nous devons protéger, je maintiens cet amendement, monsieur le président.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

Debut de section - PermalienPhoto de Catherine Morin-Desailly

J’entends les explications de Mme la garde des sceaux sur ce sujet, que nous avons déjà abordé – pas plus tard qu’hier, je crois –, à la faveur de l’examen d’un autre amendement. C’est un vrai sujet, et vous avez raison, monsieur Decool, de poser la question.

Les explications du Gouvernement sont partiellement rassurantes. Je crois tout à fait à la volonté du ministre de l’éducation nationale de sécuriser les données personnelles des élèves. Pour autant, il faudrait – peut-être ici, ce soir – que le Gouvernement prenne l’engagement définitif de sortir de l’ambiguïté, car, comme je l’indiquais hier, il a passé des marchés, que ce soit avec Google ou Microsoft, n’apportant strictement aucune garantie.

Les dysfonctionnements liés aux contrats passés avec les géants américains de l’Internet commencent à apparaître. Je ne citerai que la plus récente affaire : l’affaire désastreuse de Cambridge Analytica et des données utilisateurs de Facebook, qui fait beaucoup de bruit en ce moment.

Les conditions générales d’utilisation proposées par ces géants, d’ailleurs établies unilatéralement par eux-mêmes, ne sont pas de nature à clarifier les situations. De ce fait, il y a toujours une possibilité de dysfonctionnements ou d’utilisations frauduleuses, à l’insu des propriétaires de données.

Je vous le dis très officiellement, madame la garde des sceaux, monsieur le secrétaire d’État, il faut vraiment sortir de l’ambiguïté. Les affaires récentes le montrent, nous sommes à un tournant !

Selon moi, c’est la fin d’un modèle économique de l’Internet fondé sur la gratuité, la publicité et l’utilisation des données – et je ne parle même pas de surveillance massive. Nous allons avoir le devoir impérieux de refonder notre système de l’Internet sur des valeurs européennes !

L ’ amendement est adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 14.

Le III de l’article 32 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par un alinéa ainsi rédigé :

« Lorsque les données à caractère personnel sont collectées auprès d’un mineur de moins de seize ans, le responsable de traitement transmet au mineur les informations mentionnées au I dans un langage clair et facilement accessible. » –

Adopté.

(Non modifié)

L’article 40 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par un III ainsi rédigé :

« III. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. La dérogation prévue au présent III n’est applicable qu’aux seuls traitements de données à caractère personnel nécessaires au respect d’une obligation légale qui requiert le traitement de ces données ou à l’exercice d’une mission d’intérêt public dont est investi le responsable de traitement. »

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 140, présenté par Mme S. Robert, MM. Durain, Sutour, Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Au début de cet article

Insérer un paragraphe ainsi rédigé :

… – À la première phrase du premier alinéa du II de l’article 40 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les mots : « lorsque la personne concernée était mineure au moment de la collecte » sont supprimés.

La parole est à Mme Sylvie Robert.

Debut de section - PermalienPhoto de Sylvie Robert

J’ai retenu cette phrase de l’écrivain Kazuo Ishiguro, que vous connaissez sûrement, mes chers collègues : « Quand faut-il se souvenir, quand est-il préférable d’oublier ? »

Les données personnelles sont un rempart contre l’oubli. Elles sont la trace de chacun et elles peuvent révéler l’état civil, les préférences, les intérêts, en somme tout ce qui constitue l’identité d’un individu. Si ce dernier livre des informations à un moment donné, il peut légitimement vouloir qu’elles n’apparaissent plus ultérieurement, au motif, notamment, du respect de sa vie privée.

En ce sens, la loi du 7 octobre 2016 pour une République numérique a représenté une vraie avancée, en créant un droit à l’oubli. Bien évidemment, ce droit n’est pas absolu ; il doit être concilié avec d’autres considérations tout aussi importantes : le droit à l’information, le droit à la recherche scientifique et d’autres finalités d’intérêt public.

Néanmoins, ce droit a aujourd’hui une portée limitée, car il est soumis à une condition de minorité. Pour être plus précis, si tout un chacun peut s’en prémunir, il ne peut le faire que pour des données collectées lorsqu’il était mineur.

Certes, cette disposition permet de gommer certaines erreurs de jeunesse, pourrait-on dire, mais elle semble incomplète et difficilement justifiable sur le fond.

Pourquoi une personne pourrait-elle effacer des données personnelles collectées quand elle avait 17 ans et 9 mois, lorsqu’une autre ne pourrait pas le faire pour des données collectées quand elle avait 18 ans et 3 mois ? L’âge comme conditionnalité décisive à l’exercice du droit à l’oubli me semble d’une faible valeur discursive.

À titre personnel, je ne conçois pas pleinement le fondement de cette logique. Je ne qualifierai pas celle-ci d’arbitraire, mais, à l’heure où nous recourons tous de plus en plus au numérique afin de remplir nos tâches administratives, d’effectuer des achats en ligne, de bénéficier de services divers et variés, d’avoir accès à l’information par des abonnements à des newsletters, notamment, nous avons besoin de protection, de droits effectifs ayant une portée réelle, et non partielle.

Le droit à l’oubli en est un. Nous devons avoir le droit, indépendamment de notre âge au moment de la collecte des données, d’effacer les empreintes que nous laissons sur la toile, dès lors que cette volonté ne porte pas atteinte à d’autres enjeux rappelés précédemment et qui figurent, d’ailleurs, à l’article 40 de la loi Informatique et libertés.

En définitive, ce qui me paraît étrange, c’est que les modalités d’encadrement de ce droit sont déjà inscrites dans la loi. En faire usage ne risque donc pas de limiter d’autres droits et d’autres libertés fondamentales. En revanche, ne pas lui conférer une pleine portée est regrettable, car cela revient à affaiblir la protection des données et, par conséquent, le respect de la vie privée.

Debut de section - PermalienPhoto de Sophie Joissains

Cet amendement est en réalité satisfait par le règlement général sur la protection des données. En inscrivant le droit à l’oubli pour les mineurs dans son texte, la loi pour une République numérique avait anticipé ce règlement général, mais celui-ci consacre bien un droit à l’oubli pour tous, même si une procédure accélérée est prévue dans le cas des mineurs.

La commission demande donc le retrait de cet amendement.

Debut de section - Permalien
Nicole Belloubet

Les dispositions de cet amendement constituent, d’une certaine manière, un acte de « surtransposition ».

Sous réserve de certaines exceptions prévues dans le texte, et dans le cadre de l’offre de services de la société de l’information, le droit à l’oubli sera généralisé à l’ensemble des personnes, et pas seulement aux mineurs. C’est exactement ce que vous proposez dans cet amendement, madame Robert, et c’est la raison pour laquelle mon avis sera défavorable.

L’extension proposée me semble disproportionnée au regard de la nécessaire conciliation que nous devons opérer entre la liberté d’information et le droit à l’effacement des données. Les personnes majeures peuvent s’appuyer sur d’autres motifs pour obtenir l’effacement de leurs données – absence de consentement, illicéité du traitement, etc. –, et ce sans qu’il soit besoin de leur étendre le bénéfice de cette protection, spécifiquement ajoutée pour les mineurs.

Le Gouvernement émet un avis défavorable sur cet amendement.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 140 est retiré.

L’amendement n° 141, présenté par Mme S. Robert, MM. Durain, Sutour, Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Au début de cet article

Insérer un paragraphe ainsi rédigé :

… – À la seconde phrase du premier alinéa du II de l’article 40 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, après la première occurrence des mots : « celles-ci » sont insérés les mots : « sur l’ensemble des extensions du traitement ».

La parole est à Mme Sylvie Robert.

Debut de section - PermalienPhoto de Sylvie Robert

En 2014, la Cour de justice de l’Union européenne a estimé, dans son arrêt Costeja, qu’un célèbre moteur de recherche entrait dans le champ de la directive de 1995 sur le traitement des données personnelles.

Dès lors qu’ils proposent des contenus publicitaires à partir de l’indexation des sites, les moteurs de recherche réalisent un traitement de données à caractère personnel. Il s’ensuit que la CJUE a reconnu la possibilité pour tout internaute d’obtenir qu’un lien n’apparaisse plus quand son patronyme, et uniquement son patronyme, est saisi sur le moteur de recherche. C’est le droit au déréférencement. Ce droit est naturellement à mettre en balance avec d’autres impératifs, tels que le droit à l’information du public.

Pour autant, une question n’a pas été arbitrée : quelle en est la portée territoriale ? Autrement dit, lorsqu’un moteur de recherche est tenu de déréférencer, doit-il le faire uniquement dans la zone géographique couverte par le texte réglementaire – dans notre cas, l’Union européenne – ou doit-il le faire à l’échelle mondiale, partant du postulat que, Internet étant un monde ouvert, indifférent aux frontières, l’information demeurerait accessible ?

Prenons un exemple concret. Si je demande à un moteur de recherche de déréférencer un lien me concernant et qu’il accède à ma requête, ce lien ne sera plus accessible depuis l’ensemble des extensions européennes de ce site – « .fr », « .it », etc. En revanche, il le demeurera depuis la version américaine du moteur de recherche – donc en « .com ». Le droit au déréférencement est par conséquent aujourd’hui limité territorialement.

D’ailleurs, la CNIL souhaite étendre sa portée. Son raisonnement est que les moteurs de recherche, ayant souvent choisi d’avoir un traitement mondial, doivent, dès lors que le droit au référencement est appliqué, le rendre effectif sur l’ensemble des extensions liées à ce traitement.

Si en passant en un clic d’une extension « .fr » à une extension « .com » vous avez accès au lien censé être désindexé, mes chers collègues, on peut considérer que le droit au déréférencement n’est que parcellaire !

Certes, des questions préjudicielles sur ce point fondamental ont été soumises par le Conseil d’État à la Cour de justice de l’Union européenne. Toutefois, à défaut d’anticiper les décisions de la CJUE en intégrant d’ores et déjà une disposition dans notre ordre juridique interne, nous aimerions au moins connaître la position du Gouvernement sur la question. Celui-ci est-il favorable à ce que le droit au déréférencement ne soit pas limité territorialement ?

Le sujet est essentiel, car le droit au déréférencement est un corollaire du droit à l’oubli, évoqué précédemment.

Debut de section - PermalienPhoto de Sophie Joissains

Comme le droit à l’oubli, le droit au déréférencement sur les moteurs de recherche est l’un des nouveaux droits garantis par le règlement général sur la protection des données. Il a vocation à s’appliquer directement, dans ce cadre, à compter du 25 mai prochain.

Le problème des extensions des noms de domaine sur lequel il s’exerce ne peut être tranché par un simple ajout dans la loi nationale. En effet, les autorités de contrôle européennes sont en train de se forger une doctrine, exprimée au sein du groupe qui les rassemble, et plusieurs contentieux sur ce point sont en cours. Le Conseil d’État, notamment, a adressé à la Cour de justice de l’Union européenne plusieurs questions préjudicielles sur le sujet.

Par conséquent, je vous propose, madame Robert, de ne pas modifier pour le moment la loi Informatique et libertés, et d’en rester au règlement général.

La commission demande donc le retrait de cet amendement.

Debut de section - Permalien
Nicole Belloubet

Même avis que la commission, monsieur le président : le Gouvernement sollicite le retrait de cet amendement.

Debut de section - PermalienPhoto de Sylvie Robert

Il me semblait important que nous puissions évoquer le droit à l’oubli et le droit au déréférencement dans cet hémicycle. Il y a là un vrai sujet, sur lequel, d’ailleurs, nous aurons l’occasion de revenir dans les mois ou années à venir, que ce soit dans le cadre du présent texte ou à l’occasion de l’examen d’autres dispositions.

Je retire donc mon amendement, monsieur le président.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 141 est retiré.

L’amendement n° 139, présenté par Mme S. Robert et MM. Durain, Sutour, Sueur et Kanner, est ainsi libellé :

Alinéa 2, première phrase

Après le mot :

risque

insérer le mot :

élevé

La parole est à Mme Sylvie Robert.

Debut de section - PermalienPhoto de Sylvie Robert

Cet amendement rédactionnel a pour objet d’encadrer davantage les dérogations prévues au droit à la communication d’une violation de données.

Debut de section - PermalienPhoto de Sophie Joissains

Il me semble qu’il y a erreur ! Si cet amendement était adopté, il faudrait, non plus un simple risque, mais un risque élevé pour pouvoir déroger à l’obligation de notification des failles de sécurité. Cela diminuerait la protection de certains traitements importants pour la sécurité publique.

La commission demande donc le retrait de cet amendement, faute de quoi elle émettrait un avis défavorable.

Debut de section - Permalien
Nicole Belloubet

Même avis, monsieur le président : le Gouvernement sollicite le retrait de cet amendement, faute de quoi il émettrait un avis défavorable.

L ’ article 15 est adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 1 rectifié ter, présenté par Mme Lassarade, MM. Cardoux et de Nicolaÿ, Mmes Delmont-Koropoulis, Deromedi et Gruny, MM. Vogel et H. Leroy, Mmes Troendlé, Chain-Larché, Thomas et Bonfanti-Dossat, M. Brisson, Mmes Garriaud-Maylam et Micouleau, MM. Milon, Grand, Bonhomme et Bonne, Mme Lanfranchi Dorgal et MM. Bouchet, Leleux, Charon, Panunzi et Priou, est ainsi libellé :

Après l’article 15

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 341-4 du code de l’énergie, il est inséré un alinéa ainsi rédigé :

« Ces dispositifs ne peuvent pas être installés auprès des utilisateurs qui s’y opposent expressément. »

La parole est à Mme Annie Delmont-Koropoulis.

Debut de section - PermalienPhoto de Annie Delmont-Koropoulis

Les nouveaux dispositifs de comptage mis en place – les compteurs Linky – procèdent, par défaut et sans le consentement des personnes, à des enregistrements de données personnelles.

Le fonctionnement intrinsèque de ces compteurs implique le traitement de données à caractère personnel.

Dès lors, seule la faculté de s’opposer à l’installation de ces compteurs permet de garantir aussi bien le droit à l’autodétermination des données personnelles, tel qu’il a été préconisé par le Conseil d’État dans son étude annuelle 2014, Le Numérique et les droits fondamentaux, que les exigences du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Ce règlement consacre le principe selon lequel le consentement des personnes au traitement de leurs données personnelles doit être donné par un acte positif clair, par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant.

Un refus de la part de certains utilisateurs que leurs données personnelles soient collectées par les dispositifs de comptage et l’impossibilité, partant, d’installer ces dispositifs chez ces utilisateurs n’entraînera pas une violation de la directive européenne du 13 juillet 2009 concernant des règles communes pour le marché intérieur de l’électricité, dès lors que son annexe I n’impose qu’une couverture du territoire national à hauteur de 80 %.

Debut de section - PermalienPhoto de Sophie Joissains

Cette question passionnante partage quelque peu la France et pourrait faire l’objet d’un véritable débat… Mais elle ne trouve pas vraiment sa place dans ce texte ; elle en est même très éloignée.

C’est la raison pour laquelle je sollicite le retrait de cet amendement.

Debut de section - Permalien
Nicole Belloubet

Madame la sénatrice, comme Mme la rapporteur, je pense que cet amendement est un cavalier, parce qu’il concerne un sujet assez éloigné de l’objet même de ce texte.

Le Gouvernement demande donc le retrait de cet amendement.

Debut de section - PermalienPhoto de Annie Delmont-Koropoulis

Il sera intéressant de reparler de ce problème, mais, en attendant, je retire cet amendement, monsieur le président.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 1 rectifié ter est retiré.

L’amendement n° 2 rectifié ter, présenté par Mme Lassarade, MM. Cardoux et de Nicolaÿ, Mmes Delmont-Koropoulis, Deromedi et Gruny, MM. Vogel et H. Leroy, Mmes Troendlé, Chain-Larché, Thomas et Bonfanti-Dossat, M. Brisson, Mmes Garriaud-Maylam et Micouleau, MM. Milon, Grand, Bonhomme et Bonne, Mme Lanfranchi Dorgal et MM. Bouchet, Leleux, Charon, Panunzi et Priou, est ainsi libellé :

Après l’article 15

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 452-2-1 du code de l’énergie, il est inséré un alinéa ainsi rédigé :

« Ces dispositifs ne peuvent pas être installés auprès des utilisateurs qui s’y opposent expressément. »

La parole est à Mme Annie Delmont-Koropoulis.

Debut de section - PermalienPhoto de Jean-Claude Requier

M. Jean-Claude Requier. Cette fois, c’est le gaz !

Sourires.

L’article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° AA

1° A Le même II est complété par les mots : « au vu des cas individuels présentés par le demandeur, qui en informe la Commission nationale de l’informatique et des libertés » ;

1° Le III est ainsi rédigé :

« III. – Cette action peut être exercée en vue soit de la cessation du manquement mentionné au II, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins.

« Toutefois, la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 25 mai 2020. » ;

2° Le IV est ainsi modifié :

a)

b)

« L’agrément prévu au 1° est notamment subordonné à l’activité effective et publique de l’association en vue de la protection de la vie privée et de la protection des données à caractère personnel, à la transparence de sa gestion, à sa représentativité et à son indépendance. Les conditions d’agrément et du retrait de l’agrément sont déterminées par décret en Conseil d’État. » ;

3° Il est ajouté un V ainsi rédigé :

« V. – Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre X du titre VII du livre VII du code de justice administrative et au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

Je suis saisi de deux amendements faisant l’objet d’une discussion commune.

L’amendement n° 101, présenté par le Gouvernement, est ainsi libellé :

I. - Alinéas 7 à 10

Supprimer ces alinéas.

II. – Alinéa 11

Rédiger ainsi cet alinéa :

2° Le IV est complété par un alinéa ainsi rédigé :

III. – Alinéa 12

Rédiger ainsi le début de cet alinéa :

« Lorsque l’action …

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Mesdames, messieurs les sénateurs, le Gouvernement souhaite la suppression de la condition d’agrément qu’a introduite la commission pour les associations souhaitant exercer une action de groupe.

Une telle condition n’est pas prévue à l’article 80 du règlement, qui vise les organismes, organisations ou associations à but non lucratif ayant été valablement constitués conformément au droit d’un État membre. L’amendement tend à poser une exigence supplémentaire qui me semble donc contraire à la lettre du règlement.

En pratique, très peu d’actions de groupe ont été engagées, et depuis que la possibilité en a été introduite par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle, aucune ne l’a été en matière de protection des données. La condition supplémentaire, qui est liée à l’agrément préalable, entraverait la possibilité d’exercer ces actions.

Je rappelle que la loi de 2016 a déjà prévu un certain nombre de garde-fous. En effet, pour pouvoir exercer une action de groupe, une association doit être régulièrement déclarée depuis cinq ans au moins et justifier d’un objet statutaire concernant la protection de la vie privée et la protection des données à caractère personnel. Les associations de défense peuvent également exercer une telle action lorsque le traitement de données à caractère personnel affecte des consommateurs.

L’agrément prévu pour ces associations par l’article L. 811-1 du code de la consommation est facultatif. Il y aurait donc, si nous n’avions pas déposé notre amendement, une distorsion entre ces deux types d’association.

J’ajoute enfin que le Gouvernement ne souhaite pas revenir sur la disposition introduite par votre commission, qui a reporté au 25 mai 2020 l’entrée en vigueur de l’action de groupe.

Au total, il nous semble que la crainte d’un déferlement d’actions en réparation apparaît excessive et que le texte est parvenu à un juste équilibre.

Pour l’ensemble de ces raisons, je vous demande donc de bien vouloir adopter cet amendement de suppression, sachant que l’amendement suivant, déposé par M. Durain, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain a le même objet.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 130, présenté par M. Durain, Mme Sylvie Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéas 7 à 10

Supprimer ces alinéas.

La parole est à M. Jérôme Durain.

Debut de section - PermalienPhoto de Jérôme Durain

Mme la garde des sceaux a dit l’essentiel. On nous parle d’une multiplication des recours abusifs, d’un déferlement, d’un raz-de-marée de plaideurs virulents ayant des visées politiciennes… Nous ne les avons pas vus à l’œuvre jusqu’à présent ! Il nous semble donc que toutes ces préventions sont superflues et infondées.

C’est pour cette raison que nous demandons la suppression des alinéas 7 à 10 de l’article.

Debut de section - PermalienPhoto de Sophie Joissains

La commission a accepté le principe de l’extension de l’action de groupe en matière de données personnelles à la réparation des dommages matériels et moraux, ainsi que l’a proposé l’Assemblée nationale.

Cette extension donnera effectivement du sens à l’action de groupe en matière de données personnelles. Une action de groupe limitée à la cessation d’un manquement n’a que peu de sens, comme le Sénat l’avait relevé lors de l’examen de la loi de modernisation de la justice du XXIe siècle. Telle est la véritable raison pour laquelle il n’y a eu aucune action de groupe en la matière depuis 2016.

Dès lors que l’objet de l’action de groupe est étendu à la réparation des dommages, de telles actions risquent au contraire de se multiplier. C’est une grande crainte de nos collectivités territoriales.

De fait, des associations tout à fait respectables nous ont confié leur intention d’en introduire dès le lendemain de l’entrée en vigueur du RGPD, dans la logique des actions qu’elles mènent sur la scène publique et des protestations qu’elles y font entendre. Dès lors, nous avons le devoir de protéger les collectivités territoriales ou les TPE-PME contre les recours abusifs, qui sont très inquiètes, je le répète.

De plus, je ne pense pas que ce soit une demande exorbitante, dans la mesure où c’est déjà le cas en matière de consommation, d’environnement, de santé. Cela permettrait aussi d’unifier le régime de l’action de groupe.

La commission émet donc un avis défavorable sur ces deux amendements.

Debut de section - Permalien
Nicole Belloubet

Celui-ci est presque identique à l’amendement du Gouvernement. J’émets donc un avis favorable.

L ’ amendement n ’ est pas adopté.

L ’ amendement n ’ est pas adopté.

L ’ article 16 A est adopté.

La section 2 du chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 43 quater ainsi rédigé :

« Art. 43 quater. – Toute personne peut mandater une association ou une organisation mentionnée au IV de l’article 43 ter aux fins d’exercer en son nom les droits prévus aux articles 77 à 79 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle peut également les mandater pour agir devant la Commission nationale de l’informatique et des libertés, contre celle-ci devant un juge ou contre le responsable de traitement ou son sous-traitant devant une juridiction lorsqu’est en cause un traitement relevant du chapitre XIII de la présente loi.

« L’agrément prévu au 1° du IV de l’article 43 ter n’est pas requis pour qu’une association mentionnée au même 1° puisse recevoir mandat en application du premier alinéa du présent article. »

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 25 rectifié, présenté par M. A. Marc, Mme Deromedi et les membres du groupe Les Indépendants – République et Territoires, est ainsi libellé :

Alinéa 2

Compléter cet alinéa par une phrase ainsi rédigée :

Lorsqu’elle constate un manquement, la Commission nationale de l’informatique et des libertés peut ordonner au responsable de traitement de rembourser à l’association ou à l’organisation qui en fait la demande les frais engagés par celle-ci pour exercer les droits des personnes concernées.

La parole est à M. Jean-Pierre Decool.

Debut de section - PermalienPhoto de Jean-Pierre Decool

Cet amendement vise à assurer la soutenabilité financière des actions de groupe, telle qu’elle résulte de l’article 16 A du projet de loi, en prévoyant la possibilité pour une association ou une organisation de se faire rembourser les frais engagés pour exercer ses droits et ceux des personnes représentées.

Il s’agit d’affirmer l’effectivité de ce mécanisme d’action de groupe introduit dans le projet de loi en première lecture, à l’Assemblée nationale, en commission.

Debut de section - PermalienPhoto de Sophie Joissains

Il y a une légère confusion de la part des auteurs de l’amendement, puisqu’il s’agit ici non pas de l’action de groupe, mais de l’action individuelle par mandataire.

L’amendement vise à permettre à la CNIL d’imposer à un responsable de traitement dont elle a constaté un manquement aux règles relatives à la protection des données personnelles de rembourser à l’association ou à l’organisation mandatée les frais qu’elle a engagés.

La commission ne peut y être favorable, pour plusieurs raisons : d’une part, la CNIL n’est pas une juridiction, susceptible de condamner aux dépens ; d’autre part, l’examen par la CNIL d’une réclamation n’est pas un procès opposant plusieurs parties, et il n’y a pas de lien d’instance entre l’association auteur de la réclamation et le responsable de traitement, qui justifierait de mettre à la charge de l’un les frais de l’autre.

Nous avons bien étudié la question, et nous sommes parvenus à la conclusion que la CNIL n’avait pas la possibilité de mener ce type d’action.

La commission demande donc le retrait de cet amendement, faute de quoi elle émettrait un avis défavorable.

Debut de section - Permalien
Nicole Belloubet

Même avis : le Gouvernement demande le retrait de cet amendement, faute de quoi il émettrait un avis défavorable.

Debut de section - PermalienPhoto de Jean-Pierre Decool

Non, compte tenu des explications avancées par Mme la rapporteur, je le retire, monsieur le président.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 25 rectifié est retiré.

L’amendement n° 100, présenté par le Gouvernement, est ainsi libellé :

Alinéa 3

Supprimer cet alinéa.

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Je le retire, monsieur le président.

L ’ article 16 est adopté.

I. – La section 2 du chapitre V de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 43 quinquies ainsi rédigé :

« Art. 43 quinquies. – Dans le cas où, saisie d’une réclamation dirigée contre un responsable de traitement ou son sous-traitant, la Commission nationale de l’informatique et des libertés estime fondés les griefs avancés relatifs à la protection des droits et libertés d’une personne à l’égard du traitement de ses données à caractère personnel, ou de manière générale afin d’assurer la protection de ces droits et libertés dans le cadre de sa mission, elle peut demander au Conseil d’État d’ordonner la suspension d’un transfert de données, le cas échéant sous astreinte, et assortit alors ses conclusions d’une demande de question préjudicielle à la Cour de justice de l’Union européenne en vue d’apprécier la validité de la décision d’adéquation de la Commission européenne prise sur le fondement de l’article 45 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ainsi que de tous les actes pris par la Commission européenne relativement aux garanties appropriées dans le cadre des transferts de données mentionnées à l’article 46 du même règlement. Lorsque le transfert de données en cause ne constitue pas une opération de traitement effectuée par une juridiction dans l’exercice de sa fonction juridictionnelle, la Commission nationale de l’informatique et des libertés peut saisir dans les mêmes conditions le Conseil d’État aux fins d’ordonner la suspension du transfert de données fondé sur une décision d’adéquation de la Commission européenne prise sur le fondement de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil dans l’attente de l’appréciation par la Cour de justice de l’Union européenne de la validité de cette décision d’adéquation. »

II

1° Les mots : «, hors les cas prévus par la loi » sont supprimés ;

2° Les mots : « la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l’informatique et des libertés mentionnées à l’article 70 » sont remplacés par les mots : « l’Union européenne ou à une organisation internationale en violation du chapitre V du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, ou des articles 70-25 à 70-27 ». –

Adopté.

En application de l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, toute clause contractuelle liant un responsable de traitement et un tiers est nulle lorsqu’elle a pour effet de contraindre ce tiers à ne pas mettre en œuvre, notamment lors de la configuration d’un terminal, toutes les conditions du consentement de l’utilisateur final tel qu’il est défini au 11 de l’article 4 du même règlement.

La mise en œuvre de ces conditions peut notamment consister à proposer à l’utilisateur final le choix entre différents services de communication au public en ligne de nature équivalente et dans des conditions d’utilisation équivalentes, pour lesquels peuvent différer les mesures techniques et organisationnelles de protection des données mises en œuvre par le responsable de traitement en application de l’article 25 du même règlement.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 102, présenté par le Gouvernement, est ainsi libellé :

Rédiger ainsi cet article :

En application de l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final dans les conditions définies au 11 de l’article 4 du même règlement.

La parole est à M. le secrétaire d’État.

Debut de section - Permalien
Mounir Mahjoubi

Au fil des travaux de l’Assemblée nationale et du Sénat, le Gouvernement a pris conscience qu’il existe aujourd’hui de réelles préoccupations au sein du Parlement sur la question des services et des applications préinstallées, qui sont aujourd’hui mises à disposition sur de nombreux terminaux connectés, en premier lieu les terminaux mobiles.

Je vous invite d’ailleurs à la lecture essentielle et particulièrement riche de la dernière étude de l’ARCEP, l’Autorité de régulation des communications électroniques et des postes, qui étudie tous les enjeux économiques et sociétaux liés à ces terminaux.

Je tiens à remercier les députés et les sénateurs qui se sont mobilisés sur ce sujet, en particulier Éric Bothorel, à l’Assemblée nationale, et, au Sénat, M. Raynal et toute la commission des lois.

Le Gouvernement a entendu les craintes, et nous avons travaillé longuement pour parvenir à une proposition équilibrée. Nous avons examiné avec attention les propositions qui ont été avancées en ce sens, notamment celles qui résultent de l’article 17 bis adopté par la commission.

Cependant, sa rédaction ne nous semble ni satisfaisante ni opérationnelle, pour plusieurs raisons, mais, comme nous partageons cette ambition, nous allons vous proposer – c’est tout l’objet de cet amendement – une solution que nous trouvons acceptable et équilibrée.

En premier lieu, le dispositif prévu apparaît trop éloigné, dans certains de ses énoncés, du vocabulaire même et de la logique du règlement général de la protection des données. Prenons pour exemple les notions d’utilisateur final, de nullité du contrat ou de tiers.

La rédaction de l’article 17 bis implique en effet des acteurs tiers qui n’ont a priori aucune obligation directe en matière de données personnelles vis-à-vis des utilisateurs finaux, sauf s’il s’agit, d’une part, de responsables ou coresponsables de traitements, et, d’autre part, de personnes concernées, au sens du RGPD, ce qui n’est pas le cas. Il serait problématique et disproportionné d’inclure l’ensemble des fabricants de terminaux dans le champ du RGPD.

En second lieu, comme l’a souligné Mme Morin-Desailly, la rédaction de l’article 17 bis soulève également de fortes interrogations quant à sa compatibilité avec le reste du droit de l’Union européenne, notamment le droit de la concurrence.

Ce sont les raisons pour lesquelles le Gouvernement, qui comprend et partage les préoccupations du Parlement, souhaite amender l’article 17 bis, afin de rester en cohérence à la fois avec le RGPD et avec les normes de l’Union, de façon à pouvoir conserver le dispositif dans la loi et à assurer son opposabilité aux tiers.

À cette fin, l’amendement vise d’abord à mieux préciser les traitements dont il s’agit, ceux qui sont donc fondés sur le consentement, et ensuite à reprendre la logique de responsabilisation du responsable de traitement, telle qu’elle est établie par le RGPD et la terminologie de son article 7, alinéa 1 – le responsable de traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

Tel est l’objet du présent amendement : soutenir les préoccupations exprimées légitimement par les parlementaires tout en assurant la bonne insertion du dispositif dans le cadre européen.

Pendant les débats, tant à l’Assemblée nationale qu’au Sénat, c’est la question plus générale du rôle des plateformes dans la société et dans l’économie et des inquiétudes qu’elles génèrent qui a été soulevée.

Ce débat, dont vous avez rappelé les enjeux, fait aujourd’hui toute l’actualité du Gouvernement et de la Commission européenne. Ce n’est pas avec cet amendement que nous épuiserons l’intégralité du sujet. Nous pouvons nous attendre dans les prochains mois à avoir de nouveau de nombreuses discussions. Peut-être même aurons-nous l’occasion d’examiner de nouveaux textes législatifs.

Debut de section - PermalienPhoto de Sophie Joissains

Sans suspense, l’avis de la commission est extrêmement favorable.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

Debut de section - PermalienPhoto de Catherine Morin-Desailly

Puisque j’ai été mentionnée par M. le secrétaire d’État, je me permets d’intervenir.

Je suis heureuse d’entendre un embryon de changement dans le discours du Gouvernement – à la suite du gouvernement précédent – sur cette question des plateformes monopolistiques – que celles-ci soient horizontales ou constituées en silos verticaux – dans des systèmes écopropriétaires.

Monsieur le secrétaire d’État, la problématique de la concurrence est devant nous ; nous y sommes arrivés. Bruno Le Maire veut assigner Google et Apple et je sais que la Commission européenne travaille en ce moment sur le sujet.

Je ne reprendrai pas l’analyse développée dans l’objet de mon amendement tendant à insérer un article additionnel après l’article 17 bis. Celui-ci vise à « bétonner » le système. J’entendrai d’ailleurs avec intérêt l’avis de Mme la rapporteur sur ce sujet.

J’emploie le mot « bétonner » à dessein, parce que le présent amendement me paraît quelque peu fragile sur les plans constitutionnel et contractuel. Mais qui peut le plus peut le moins, et puisque le débat est devant nous, il nous faut des « billes » pour pouvoir continuer la discussion sur ces sujets jusqu’à la commission mixte paritaire.

Je suis favorable à cet amendement, qui vise à rendre l’article 17 bis compatible avec l’actuel règlement, auquel on peut difficilement toucher si ce n’est à travers le projet de loi de transposition.

Au travers de mon propre amendement, je recherche une plus grande efficacité. C’est la raison pour laquelle je propose d’introduire un nouvel article dans le code de commerce prohibant « l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service ».

Cela fait partie d’un tout, et il est temps de mener cette fois une action vraiment offensive. Les derniers événements nous le prouvent.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. Jérôme Durain, pour explication de vote.

Debut de section - PermalienPhoto de Jérôme Durain

Je veux juste indiquer, puisque son nom a été cité, que c’est sur l’initiative de notre collègue Claude Raynal que la commission des lois a pris en compte ces éléments de réflexion.

Plusieurs éléments de cet amendement nous intéressent, comme l’a dit M. le secrétaire d’État : d’abord, une dimension de patriotisme numérique, parce qu’une position monopolistique qui se rompt, c’est l’occasion pour de nouveaux acteurs, peut-être français, d’intervenir sur le marché ; ensuite, une dimension d’équité, sur un marché qui est effectivement par trop monopolistique.

Nous nous inscrivons donc dans la lignée des propos de M. le secrétaire d’État et soutenons cet amendement.

L ’ amendement est adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 78 rectifié, présenté par Mme Morin-Desailly, MM. Henno, Kern et Laugier, Mme Doineau, M. Bonnecarrère, Mmes de la Provôté, Goy-Chavent et Vullien, M. Détraigne, Mme Gatel, MM. Maurey, Mizzon, Canevet, Cigolotti, Delcros, L. Hervé et les membres du groupe Union Centriste, est ainsi libellé :

Après l’article 17 bis

Insérer un article additionnel ainsi rédigé :

Le livre IV du code de commerce est ainsi modifié :

1° Après l’article L. 420-2-2, il est inséré un article L. 420-2-3 ainsi rédigé :

« Art. L. 420 -2 -3. – Est prohibée, lorsqu’elle tend à limiter l’accès au marché ou le libre exercice de la concurrence par d’autres entreprises, l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service. » ;

2° À la fin de l’article L. 420-3 et au premier alinéa du III de l’article L. 420-4, la référence : « et L. 420-2-2 » est remplacée par les références : «, L. 420-2-2 et L. 420-2-3 » ;

3° Au premier alinéa de l’article L. 450-5, à la première phrase du premier alinéa de l’article L. 462-3, aux I, II et IV de l’article L. 462-5, à la première phrase du premier alinéa de l’article L. 462-6, à la seconde phrase du premier alinéa du I de l’article L. 464-2 et au premier alinéa de l’article L. 464-9, la référence : « L. 420-2-2 » est remplacée par la référence : « L. 420-2-3 ».

La parole est à Mme Catherine Morin-Desailly.

Debut de section - PermalienPhoto de Sophie Joissains

Le présent amendement vise à apporter une solution alternative et complémentaire au problème évoqué au précédent amendement, qui est abordé, selon moi, sous un meilleur angle : celui du droit de la concurrence.

Cet amendement a en effet pour objet de renforcer les moyens offerts pour lutter contre les abus de position dominante mettant en jeu des interactions sur deux marchés distincts au sens du droit de la concurrence : le marché des services en ligne, d’une part, et celui des terminaux, d’autre part.

Il vise à prohiber les abus de position dominante ayant pour effet d’imposer au consommateur d’acheter des matériels informatiques dotés dès l’achat d’applications et de services, du fait de la position dominante des éditeurs de ces applications et services vis-à-vis des fabricants.

Alors que le ministère de l’économie et la Direction générale de la concurrence, de la consommation et de la répression des fraudes ont assigné le 14 mars dernier Apple et Google devant le tribunal de commerce de Paris pour demander la cessation de certaines pratiques commerciales abusives concernant leurs « magasins d’applications », le présent amendement vise à élargir l’arsenal des mesures et permet de garantir au consommateur un réel choix. Il va selon moi véritablement dans le bon sens.

La commission émet donc un avis très favorable sur cet amendement, avec une mention spéciale pour Claude Raynal, qui a pris l’initiative d’aborder cette question.

Debut de section - Permalien
Mounir Mahjoubi

Je ne voudrais pas être trop dur, car, comme je l’ai indiqué tout à l’heure, le Gouvernement partage le souhait de donner une pleine efficacité au consentement du consommateur tel qu’il est prévu par le règlement, en particulier dans le cas des services accessibles via des terminaux mobiles.

Toutefois, nous estimons que la mesure proposée est inadéquate pour atteindre cet objectif.

Debut de section - Permalien
Mounir Mahjoubi

Le présent amendement est malheureusement sans rapport avec l’objet du projet de loi. La modification envisagée vise à prohiber une pratique anticoncurrentielle. Elle est donc encadrée par le droit de la concurrence ; elle ne vise pas à garantir le consentement du consommateur au sens même du règlement.

En outre, si nous allons au fond de l’analyse, la proposition que vous formulez pourrait laisser entendre que d’autres pratiques mises en œuvre par ces mêmes acteurs de l’économie numérique, parce qu’elles ne seraient pas explicitement visées, ne pourraient être appréhendées sous l’angle droit de la concurrence. Cela irait à l’encontre même du projet et de la vision que vous portez.

Pour l’ensemble de ces raisons, de forme – l’opportunité d’intégrer cette mesure dans ce projet de loi – comme de fond, le Gouvernement est défavorable à cet amendement, même si, je le rappelle, il est nécessaire de mener en France et en Europe un véritable débat commun sur ce sujet.

Debut de section - PermalienPhoto de Catherine Morin-Desailly

Il faut plus qu’un débat ! Il faut agir ! Nous avons déjà beaucoup débattu…

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. Loïc Hervé, pour explication de vote.

Debut de section - PermalienPhoto de Loïc Hervé

Nous soutenons cet amendement, qui a été déposé par Catherine Morin-Desailly et cosigné par nombre de nos collègues et par l’ensemble des membres du groupe Union Centriste.

Cet amendement tend à compléter le dispositif, que nous avons introduit en commission à l’article 17 bis, en garantissant que les utilisateurs d’un terminal aient le choix d’un service équivalent, offrant de meilleures garanties quant à la protection des données personnelles.

Monsieur le secrétaire d’État, on n’est pas tout à fait hors sujet, on est même au cœur du débat, dans la vie quotidienne de nombre de nos compatriotes : il est question d’outils qui consistent à capter des données !

Nous avons eu hier un débat fort intéressant sur les objets connectés ; voilà un autre volet de la réalité vécue par nos compatriotes, a fortiori quand des services de communication au public en ligne sont préinstallés. En effet, alors que le consentement de l’utilisateur doit être libre et que le législateur doit s’assurer que cette liberté est totale et résulte d’un choix effectif, ce choix est en réalité limité à l’acceptation ou au refus des traitements de données ou, en l’espèce, des moteurs de recherche proposés.

Ces moteurs de recherche sont ainsi préinstallés sur les téléphones et leur désinstallation est rendue quasi impossible. Essayez de le faire vous-même sur votre téléphone ou votre smartphone ! La plupart de ces appareils commercialisés en France et en Europe sont en effet équipés d’un système d’exploitation mobile qui impose le même moteur de recherche – Google pour ne pas le citer. C’est une obligation faite à l’ensemble des utilisateurs.

Pourtant, certains moteurs de recherche proposent des fonctionnalités équivalentes tout en offrant une meilleure protection des données. Ils s’engagent d’ailleurs sur ce sujet. C’est par exemple le cas des moteurs de recherche alternatifs, plus respectueux la de la vie privée. Citons un moteur de recherche français, Qwant, qui a été créé dans notre pays en 2013 – il est important de le signaler.

Nous proposons de nous placer sur le terrain du droit de la concurrence en prohibant l’exploitation abusive par une entreprise d’une position dominante sur le marché des services de communication publics en ligne lorsque cette position dominante subordonne la vente d’un équipement à l’achat d’un service.

En cela, monsieur le secrétaire d’État, nous sommes tellement proches des positions du ministre Bruno Le Maire !

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

Debut de section - PermalienPhoto de Catherine Morin-Desailly

Je maintiens plus que jamais mon amendement.

Monsieur le secrétaire d’État, vous dites qu’il va être temps de débattre. Vous savez, ici au Sénat, comme l’a rappelé notre collègue Simon Sutour, nous en débattons depuis pratiquement 2013 : à la commission des affaires européennes, à travers les nombreux rapports que nous avons produits sur ce sujet, à travers les missions communes d’information. Nous avons exploré toutes les facettes de ces problématiques de souveraineté, discuté de la stratégie européenne dans le domaine d’internet, débattu de la question des données.

Il est vraiment temps d’agir ! D’ailleurs, l’actualité nous le montre avec l’affaire Cambridge Analytica, qui est purement scandaleuse : quelque 50 millions d’utilisateurs de Facebook se sont vu hacker leurs données par une entreprise de gestion des data, qui les a revendues pour des motifs sociaux et politiques douteux. Ce qui est en train de se passer est un véritable scandale, monsieur le secrétaire d’État. C’est une seconde affaire Snowden !

Si tout cela ne nous alerte pas, notamment sur la manière dont fonctionnent actuellement les GAFA, dont la gestion abusive des données personnelles est maintenant une évidence, cela signifie que nous ne prenons pas nos responsabilités.

Le Sénat a adopté à l’unanimité une proposition de résolution européenne relative à la mise en œuvre des règles de concurrence, que je vous ai adressée.

Puisque nous sommes à la veille du Conseil européen, le moment est venu d’aller y parler de ces questions. Le moment est venu de proposer, enfin, de refonder Internet et les modèles économiques sur lesquels il repose sur des principes conformes aux valeurs européennes : le droit à la concurrence et un marché numérique offrant des conditions d’honnêteté et de loyauté identiques à l’ensemble des entreprises.

Celles-ci sont obligées de subir des moteurs de recherche dont les comparateurs de prix présentent des résultats dans un ordre qui leur est désavantageux. Tout cela est démontré par A plus B ! Et ce dont il est question ici est encore plus prégnant, puisqu’il s’agit des données personnelles, qui touchent à nos libertés fondamentales.

Quand l’occasion se présente de voter certaines mesures, il est de notre responsabilité de la saisir, pour faire en sorte que la France soit moteur et serve d’aiguillon au niveau européen.

De toute façon, nous sommes au pied du mur : il va falloir résoudre ces questions. Je vous le dis très solennellement, l’heure est vraiment venue.

M. Loïc Hervé et Mme la rapporteur applaudissent.

L ’ amendement est adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 17 bis.

TITRE III

DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D’ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D’EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DÉCISION-CADRE 2008/977/JAI DU CONSEIL

(Non modifié)

I. – Le début du V de l’article 32 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé : « Sans préjudice de l’application des dispositions du chapitre XIII, les dispositions du I ne s’appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d’un traitement mis en œuvre pour le compte de l’État et intéressant la sûreté de l’État, la défense ou la sécurité publique, dans la… (le reste sans changement). »

II. – Le VI de l’article 32 de la loi n° 78-17 du 6 janvier 1978 précitée est abrogé.

III. – Au premier alinéa de l’article 41 de la loi n° 78-17 du 6 janvier 1978 précitée, après les mots : « sécurité publique », sont insérés les mots : «, sous réserve de l’application des dispositions du chapitre XIII ».

IV. – À l’article 42 de la loi n° 78-17 du 6 janvier 1978 précitée, les mots : « prévenir, rechercher ou constater des infractions, ou de » sont supprimés.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 131, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 4

Rédiger ainsi cet alinéa :

IV. - L’article 42 de la loi n° 78-17 du 6 janvier 1978 précitée est abrogé.

La parole est à M. Jérôme Durain.

Debut de section - PermalienPhoto de Jérôme Durain

Le paragraphe IV de l’article 18 supprime à l’article 42 de la loi du 6 janvier 1978 le caractère indirect de l’exercice des droits d’accès, de rectification et d’effacement pour les traitements de police judiciaire.

Le caractère indirect est maintenu pour les seuls traitements mis en œuvre par les administrations publiques et les personnes privées chargées d’une mission de service public qui ont pour mission de recouvrer des impositions.

Le maintien de l’accès indirect pour cette catégorie de traitements n’est pas justifié. Il convient de prévoir que la personne intéressée peut directement exercer ses droits d’accès direct auprès du responsable du traitement de l’administration fiscale, sans passer par l’intermédiaire de la Commission nationale de l’informatique et des libertés.

Tel est l’objet du présent amendement, qui tend à abroger l’article 42 de la loi de 1978.

Debut de section - Permalien
Nicole Belloubet

Le Gouvernement émet un avis défavorable.

L ’ amendement est adopté.

L ’ article 18 est adopté.

Le chapitre XIII de la loi n° 78-17 du 6 janvier 1978 précitée devient le chapitre XIV et, après le chapitre XII, il est rétabli un chapitre XIII ainsi rédigé :

« CHAPITRE XIII

« Dispositions applicables aux traitements relevant de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à légard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, denquêtes et de poursuites en la matière ou dexécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

« Section 1

« Dispositions générales

« Art. 70 -1. – Les dispositions du présent chapitre s’appliquent, le cas échéant par dérogation aux autres dispositions de la présente loi, aux traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l’exercice de l’autorité publique et des prérogatives de puissance publique, ci-après dénommés autorité compétente.

« Ces traitements ne sont licites que si et dans la mesure où ils sont nécessaires à l’exécution d’une mission effectuée, pour les finalités énoncées au premier alinéa, par une autorité compétente au sens du même premier alinéa, et où sont respectées les dispositions des articles 70-3 et 70-4. Le traitement assure notamment la proportionnalité de la durée de conservation des données à caractère personnel, compte tenu de l’objet du fichier et de la nature ou de la gravité des infractions concernées.

« Pour l’application du présent chapitre, lorsque les notions utilisées ne sont pas définies au chapitre Ier de la présente loi, les définitions de l’article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables.

« Art. 70 -2. – Le traitement de données mentionnées au I de l’article 8 est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et soit s’il est autorisé par un acte législatif ou réglementaire, soit s’il vise à protéger les intérêts vitaux d’une personne physique, soit s’il porte sur des données manifestement rendues publiques par la personne concernée.

« Art. 70 -3. – Si le traitement est mis en œuvre pour le compte de l’État pour au moins l’une des finalités prévues au premier alinéa de l’article 70-1, il est prévu par un acte législatif ou un acte réglementaire pris dans les conditions prévues au I de l’article 26 et aux articles 28 à 31.

« Si le traitement porte sur des données mentionnées au I de l’article 8, il est prévu par un acte législatif ou un acte réglementaire pris dans les conditions prévues au II de l’article 26.

« Tout autre traitement mis en œuvre par une autorité compétente pour au moins l’une des finalités prévues au premier alinéa de l’article 70-1 est autorisé par la Commission nationale de l’informatique et des libertés. La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prorogé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée.

« Art. 70 -4. – Si le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu’il porte sur des données mentionnées au I de l’article 8, le responsable de traitement effectue une analyse d’impact relative à la protection des données à caractère personnel, dans les conditions prévues au 7 de l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité.

« Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d’impact est adressée à la Commission nationale de l’informatique et des libertés avec la demande d’avis prévue à l’article 30.

« Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l’informatique et des libertés préalablement au traitement des données à caractère personnel :

« 1° Soit lorsque l’analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ;

« 2° Soit lorsque le type de traitement, en particulier en raison de l’utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.

« Art. 70 -5. – Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées au premier alinéa de l’article 70-1 ne peuvent être traitées pour d’autres finalités, à moins qu’un tel traitement ne soit autorisé par des dispositions législatives ou réglementaires ou par le droit de l’Union européenne. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité s’applique, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union européenne.

« Lorsque les autorités compétentes sont chargées d’exécuter des missions autres que celles exécutées pour les finalités énoncées au premier alinéa de l’article 70-1, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité s’applique au traitement effectué à de telles fins, y compris à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union européenne.

« Si le traitement est soumis à des conditions spécifiques, l’autorité compétente qui transmet les données informe le destinataire de ces données à caractère personnel de ces conditions et de l’obligation de les respecter.

« L’autorité compétente qui transmet les données n’applique pas aux destinataires dans les autres États membres ou aux services, organes et organismes établis en vertu des chapitres 4 et 5 du titre V du traité sur le fonctionnement de l’Union européenne des conditions en vertu du troisième alinéa du présent article différentes de celles applicables aux transferts de données similaires à l’intérieur de l’État membre dont relève l’autorité compétente qui transmet les données.

« Art. 70 -6. – Les traitements effectués pour l’une des finalités énoncées au premier alinéa de l’article 70-1 autre que celles pour lesquelles les données ont été collectées sont autorisés s’ils sont nécessaires et proportionnés à cette finalité sous réserve du respect des dispositions prévues au chapitre Ier et au présent chapitre.

« Ces traitements peuvent comprendre l’archivage dans l’intérêt public, à des fins scientifiques, statistiques ou historiques, aux fins énoncées au premier alinéa de l’article 70-1.

« Art. 70 -7. – Les traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sont mis en œuvre dans les conditions prévues à l’article 36.

« Art. 70 -8. – Les données à caractère personnel fondées sur des faits sont, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles.

« Art. 70 -9. – Aucune décision de justice ne peut être fondée sur le profilage, tel que défini au 4 de l’article 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

« Aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel.

« Tout profilage qui entraine une discrimination, au sens de l’article 225-1 du code pénal et de l’article 1er de la loi n° 2008-496 du 27 mai 2008 portant diverses dispositions d’adaptation au droit communautaire dans le domaine de la lutte contre les discriminations, à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l’article 8 de la présente loi est interdit.

« Art. 70 -10. – Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant que dans les conditions prévues aux 1, 2 et 10 de l’article 28 et à l’article 29 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et au présent article.

« Les sous-traitants doivent présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière que le traitement réponde aux exigences du présent chapitre et garantisse la protection des droits de la personne concernée.

« Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique, qui lie le sous-traitant à l’égard du responsable de traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et les droits du responsable de traitement, ainsi que les mesures techniques et organisationnelles destinées à garantir la sécurité du traitement, et prévoit que le sous-traitant n’agit que sur instruction du responsable de traitement. Le contenu de ce contrat ou de cet acte juridique est précisé par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés.

« Section 2

« Obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel

« Art. 70 -11. – Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie la qualité des données à caractère personnel avant leur transmission ou mise à disposition.

« Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations permettant à l’autorité compétente destinataire de juger de l’exactitude, de l’exhaustivité et de la fiabilité des données à caractère personnel et de leur niveau de mise à jour.

« S’il s’avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l’article 70-20.

« Art. 70 -12. – Le responsable de traitement établit une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :

« 1° Les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ;

« 2° Les personnes reconnues coupables d’une infraction pénale ;

« 3° Les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale ;

« 4° Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de l’une des personnes mentionnées aux 1° et 2°.

« Art. 70 -13. – I. – Afin de démontrer que le traitement est effectué conformément au présent chapitre, le responsable de traitement et son sous-traitant mettent en œuvre les mesures prévues aux 1 et 2 des articles 24 et 25 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et celles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées à l’article 8 de la présente loi.

« II. – En ce qui concerne le traitement automatisé, le responsable de traitement ou son sous-traitant met en œuvre, à la suite d’une évaluation des risques, des mesures destinées à :

« 1° Empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement ;

« 2° Empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée ;

« 3° Empêcher l’introduction non autorisée de données à caractère personnel dans le fichier, ainsi que l’inspection, la modification ou l’effacement non autorisé de données à caractère personnel enregistrées ;

« 4° Empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données ;

« 5° Garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu’aux données à caractère personnel sur lesquelles porte leur autorisation ;

« 6° Garantir qu’il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données ;

« 7° Garantir qu’il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé et à quel moment et par quelle personne elles y ont été introduites ;

« 8° Empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée ;

« 9° Garantir que les systèmes installés puissent être rétablis en cas d’interruption ;

« 10° Garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système.

« Art. 70 -14. – Le responsable de traitement et son sous-traitant tiennent un registre des activités de traitement dans les conditions prévues aux 1 à 4 de l’article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Ce registre contient aussi la description générale des mesures visant à garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées au I de l’article 8 de la présente loi, l’indication de la base juridique de l’opération de traitement, y compris les transferts, à laquelle les données à caractère personnel sont destinées et, le cas échéant, le recours au profilage.

« Art. 70 -15. – Le responsable de traitement ou son sous-traitant établit pour chaque traitement automatisé un journal des opérations de collecte, de modification, de consultation et de communication, y compris les transferts, l’interconnexion et l’effacement, portant sur de telles données.

« Les journaux des opérations de consultation et de communication permettent d’en établir le motif, la date et l’heure. Ils permettent également, dans la mesure du possible, d’identifier les personnes qui consultent ou communiquent les données et les destinataires de celles-ci.

« Ce journal est uniquement utilisé à des fins de vérification de la licéité du traitement, d’autocontrôle, de garantie de l’intégrité et de la sécurité des données et à des fins de procédures pénales.

« Ce journal est mis à la disposition de la Commission nationale de l’informatique et des libertés à sa demande.

« Art. 70 -16. – Les articles 31, 33 et 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité sont applicables aux traitements de données à caractère personnel relevant du présent chapitre.

« Si la violation de données à caractère personnel porte sur des données à caractère personnel qui ont été transmises par le responsable de traitement d’un autre État membre de l’Union européenne ou à celui-ci, le responsable de traitement notifie également la violation au responsable de traitement de l’autre État membre dans les meilleurs délais.

« La communication d’une violation de données à caractère personnel à la personne concernée peut être retardée, limitée ou ne pas être délivrée dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant compte des droits fondamentaux et des intérêts légitimes de la personne, pour éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, pour éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales, pour protéger la sécurité publique, pour protéger la sécurité nationale ou pour protéger les droits et libertés d’autrui.

« Art. 70 -17. – Sauf pour les juridictions agissant dans l’exercice de leur fonction juridictionnelle, le responsable de traitement désigne un délégué à la protection des données.

« Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes, compte tenu de leur structure organisationnelle et de leur taille.

« Les dispositions des 5 et 7 de l’article 37, des 1 et 2 de l’article 38 et du 1 de l’article 39 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, en ce qu’elles concernent le responsable de traitement, sont applicables aux traitements de données à caractère personnel relevant du présent chapitre.

« Section 3

« Droits de la personne concernée par un traitement de données à caractère personnel

« Art. 70 -18. – I. – Le responsable de traitement met à la disposition de la personne concernée les informations suivantes :

« 1° L’identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant ;

« 2° Le cas échéant, les coordonnées du délégué à la protection des données ;

« 3° Les finalités poursuivies par le traitement auquel les données sont destinées ;

« 4° Le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés et les coordonnées de la commission ;

« 5° L’existence du droit de demander au responsable de traitement l’accès aux données à caractère personnel, leur rectification ou leur effacement, et du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée.

« II. – En plus des informations mentionnées au I, le responsable de traitement fournit à la personne concernée, dans des cas particuliers, les informations additionnelles suivantes afin de lui permettre d’exercer ses droits :

« 1° La base juridique du traitement ;

« 2° La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

« 3° Le cas échéant, les catégories de destinataires des données à caractère personnel, y compris dans les États non membres de l’Union européenne ou au sein d’organisations internationales ;

« 4° Au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l’insu de la personne concernée.

« Art. 70 -19. – La personne concernée a le droit d’obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, le droit d’accéder auxdites données ainsi qu’aux informations suivantes :

« 1° Les finalités du traitement ainsi que sa base juridique ;

« 2° Les catégories de données à caractère personnel concernées ;

« 3° Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier les destinataires qui sont établis dans des États non membres de l’Union européenne ou au sein d’organisations internationales ;

« 4° Lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

« 5° L’existence du droit de demander au responsable de traitement la rectification ou l’effacement des données à caractère personnel, et du droit de demander une limitation du traitement de ces données ;

« 6° Le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés et les coordonnées de la commission ;

« 7° La communication des données à caractère personnel en cours de traitement ainsi que toute information disponible quant à leur source.

« Art. 70 -20. – I. – La personne concernée a le droit d’obtenir du responsable de traitement :

« 1° Que soient rectifiées dans les meilleurs délais, et au bout d’un mois maximum, des données à caractère personnel la concernant qui sont inexactes ;

« 2° Que soient complétées des données à caractère personnel la concernant incomplètes, y compris en fournissant à cet effet une déclaration complémentaire ;

« 3° Que soient effacées dans les meilleurs délais, et au bout d’un mois maximum, des données à caractère personnel la concernant lorsque le traitement est réalisé en violation des dispositions de la présente loi ou lorsque ces données doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable de traitement.

« II. – Lorsque l’intéressé en fait la demande, le responsable de traitement doit justifier qu’il a procédé aux opérations exigées en application du I.

« III. – Au lieu de procéder à l’effacement, le responsable de traitement limite le traitement lorsque :

« 1° Soit l’exactitude des données à caractère personnel est contestée par la personne concernée et il ne peut être déterminé si les données sont exactes ou non ;

« 2° Soit les données à caractère personnel doivent être conservées à des fins probatoires.

« Lorsque le traitement est limité en vertu du 1°, le responsable de traitement informe la personne concernée avant de mettre fin à la limitation du traitement.

« IV. – Le responsable de traitement informe la personne concernée de tout refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs du refus.

« V. – Le responsable de traitement communique la rectification des données à caractère personnel inexactes à l’autorité compétente de laquelle ces données proviennent.

« VI. – Lorsque des données à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité au titre des I et III, le responsable de traitement le notifie aux destinataires afin que ceux-ci rectifient ou effacent les données ou limitent le traitement des données sous leur responsabilité.

« Art. 70 -21. – I. – Les droits de la personne physique concernée peuvent faire l’objet de restrictions selon les modalités prévues au II du présent article dès lors et aussi longtemps qu’une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant compte des droits fondamentaux et des intérêts légitimes de la personne pour :

« 1° Éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ;

« 2° Éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;

« 3° Protéger la sécurité publique ;

« 4° Protéger la sécurité nationale ;

« 5° Protéger les droits et libertés d’autrui.

« Ces restrictions sont prévues par l’acte instaurant le traitement.

« II. – Lorsque les conditions prévues au I sont remplies, le responsable de traitement peut :

« 1° Retarder ou limiter la fourniture à la personne concernée des informations mentionnées au II de l’article 70-18 ou ne pas fournir ces informations ;

« 2° Refuser ou limiter le droit d’accès de la personne concernée prévu par l’article 70-19 ;

« 3° Ne pas informer la personne du refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement de ces données, ainsi que des motifs de cette décision conformément au IV de l’article 70-20.

« III. – Dans les cas mentionnés au 2° du II du présent article, le responsable de traitement informe la personne concernée, dans les meilleurs délais, de tout refus ou de toute limitation d’accès ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l’un des objectifs énoncés au I. Le responsable de traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision et met ces informations à la disposition de la Commission nationale de l’informatique et des libertés.

« IV. – En cas de restriction des droits de la personne concernée intervenue en application des II ou III, le responsable de traitement informe la personne concernée de la possibilité d’exercer ses droits par l’intermédiaire de la Commission nationale de l’informatique et des libertés et de former un recours juridictionnel.

« Art. 70 -22. – En cas de restriction des droits de la personne concernée intervenue en application des II ou III de l’article 70-21, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés.

« Les deuxième et troisième alinéas de l’article 41 sont alors applicables.

« Lorsque la commission informe la personne concernée qu’il a été procédé aux vérifications nécessaires, elle l’informe également de son droit de former un recours juridictionnel.

« Art. 70 -23. – I. – Les informations mentionnées aux articles 70-18 à 70-20 sont fournies par le responsable de traitement à la personne concernée par tout moyen approprié, y compris par voie électronique et, de manière générale, sous la même forme que la demande.

« II. – Aucun paiement n’est exigé pour prendre les mesures et fournir ces mêmes informations, sauf en cas de demande manifestement infondée ou abusive.

« En cas de demande manifestement infondée ou abusive, le responsable de traitement peut également refuser de donner suite à la demande.

« En cas de contestation, la charge de la preuve du caractère manifestement infondé ou abusif des demandes incombe au responsable de traitement auquel elles sont adressées.

« Art. 70 -24. – Les dispositions de la présente section ne s’appliquent pas lorsque les données à caractère personnel figurent soit dans une décision judiciaire, soit dans un dossier judiciaire faisant l’objet d’un traitement lors d’une procédure pénale. Dans ces cas, l’accès à ces données et les conditions de rectification ou d’effacement de ces données ne peuvent se faire que dans les conditions prévues par le code de procédure pénale.

« Section 4

« Transferts de données à caractère personnel vers des États non membres de lUnion européenne ou vers des destinataires établis dans des États non membres de lUnion européenne

« Art. 70 -25. – Le responsable de traitement de données à caractère personnel ne peut transférer des données ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne que lorsque les conditions suivantes sont respectées :

« 1° Le transfert de ces données est nécessaire à l’une des finalités énoncées au premier alinéa de l’article 70-1 ;

« 2° Les données à caractère personnel sont transférées à un responsable dans cet État non membre de l’Union européenne ou au sein d’une organisation internationale qui est une autorité compétente chargée des fins relevant en France du premier alinéa de l’article 70-1 ;

« 3° Si les données à caractère personnel proviennent d’un autre État, l’État qui a transmis ces données a préalablement autorisé ce transfert conformément à son droit national.

« Toutefois, si l’autorisation préalable ne peut pas être obtenue en temps utile, ces données à caractère personnel peuvent être transmises à nouveau sans l’autorisation préalable de l’État qui a transmis ces données lorsque cette nouvelle transmission est nécessaire à la prévention d’une menace grave et immédiate pour la sécurité publique d’un autre État ou pour la sauvegarde des intérêts essentiels de la France. L’autorité d’où provenaient ces données personnelles en est informée sans retard ;

« 4° La Commission européenne a adopté une décision d’adéquation en application de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée ou, en l’absence d’une telle décision, un instrument juridiquement contraignant fournit des garanties appropriées en ce qui concerne la protection des données à caractère personnel ou, en l’absence d’une telle décision et d’un tel instrument, le responsable de traitement a évalué toutes les circonstances du transfert et estime qu’il existe de telles garanties appropriées.

« Les garanties appropriées fournies par un instrument juridique contraignant mentionnées au 4° peuvent résulter soit des garanties relatives à la protection des données mentionnées dans les conventions mises en œuvre avec cet État non membre de l’Union européenne, soit de dispositions juridiquement contraignantes exigées à l’occasion de l’échange de données.

« Lorsque le responsable de traitement de données à caractère personnel transfère des données à caractère personnel sur le seul fondement de l’existence de garanties appropriées au regard de la protection des données à caractère personnel, autre qu’une juridiction effectuant une activité de traitement dans le cadre de ses activités juridictionnelles, il avise la Commission nationale de l’informatique et des libertés des catégories de transferts relevant de ce fondement.

« Dans ce cas, le responsable de traitement de données doit garder trace de la date et de l’heure du transfert, des informations sur l’autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Cette documentation est mise à la disposition de la Commission nationale de l’informatique et des libertés, sur sa demande.

« Lorsque la Commission européenne a abrogé, modifié ou suspendu une décision d’adéquation adoptée en application de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée, le responsable de traitement de données à caractère personnel peut néanmoins transférer des données personnelles ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne si des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant ou si ce responsable estime, après avoir évalué toutes les circonstances du transfert, qu’il existe des garanties appropriées au regard de la protection des données à caractère personnel.

« Art. 70 -26. – Par dérogation à l’article 70-25, le responsable de traitement de données à caractère personnel ne peut, en l’absence de décision d’adéquation ou de garanties appropriées, transférer ces données ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne que lorsque le transfert est nécessaire :

« 1° À la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne ;

« 2° À la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit français le prévoit ;

« 3° Pour prévenir une menace grave et immédiate pour la sécurité publique d’un autre État ;

« 4° Dans des cas particuliers, à l’une des finalités énoncées au premier alinéa de l’article 70-1 ;

« 5° Dans un cas particulier, à la constatation, à l’exercice ou à la défense de droits en justice en rapport avec les mêmes fins.

« Dans les cas mentionnés aux 4° et 5°, le responsable de traitement de données à caractère personnel ne transfère pas ces données s’il estime que les libertés et droits fondamentaux de la personne concernée l’emportent sur l’intérêt public dans le cadre du transfert envisagé.

« Lorsqu’un transfert est effectué aux fins de la sauvegarde des intérêts légitimes de la personne concernée, le responsable de traitement garde trace de la date et de l’heure du transfert, des informations sur l’autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Il met ces informations à la disposition de la Commission nationale de l’informatique et des libertés, à sa demande.

« Art. 70 -27. – Toute autorité publique compétente mentionnée au premier alinéa de l’article 70-1 peut, dans certains cas particuliers, transférer des données à caractère personnel directement à des destinataires établis dans un État n’appartenant pas à l’Union européenne lorsque les autres dispositions de la présente loi applicables aux traitements relevant de l’article 70-1 sont respectées et que les conditions ci-après sont remplies :

« 1° Le transfert est nécessaire à l’exécution de la mission de l’autorité compétente qui transfère ces données pour l’une des finalités énoncées au premier alinéa de l’article 70-1 ;

« 2° L’autorité compétente qui transfère ces données établit qu’il n’existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l’intérêt public nécessitant le transfert dans le cas considéré ;

« 3° L’autorité compétente qui transfère ces données estime que le transfert à l’autorité compétente de l’autre État est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun ;

« 4° L’autorité compétente de l’autre État est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié ;

« 5° L’autorité compétente qui transfère ces données informe le destinataire de la finalité ou des finalités pour lesquelles les données à caractère personnel transmises doivent exclusivement faire l’objet d’un traitement par ce destinataire, à condition qu’un tel traitement soit nécessaire.

« L’autorité compétente qui transfère des données informe la Commission nationale de l’informatique et des libertés des transferts relevant du présent article.

« L’autorité compétente garde trace de la date et de l’heure de ce transfert, des informations sur le destinataire, de la justification du transfert et des données à caractère personnel transférées. »

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 103, présenté par le Gouvernement, est ainsi libellé :

Alinéa 12

Supprimer cet alinéa.

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Le présent amendement vise à supprimer l’obligation, ajoutée en commission des lois, d’une autorisation préalable de la Commission nationale de l’informatique et des libertés pour tout traitement non mis en œuvre par l’État dans le champ de la directive.

En effet, cette autorisation préalable n’est nullement exigée par l’article 28 de la directive, qui prévoit des garanties suffisantes pour la protection des droits et des libertés des personnes concernées par ces traitements.

Le projet de loi exige ainsi la réalisation d’une analyse d’impact dès lors que le traitement est susceptible de créer un risque élevé pour les droits et libertés des personnes physiques, notamment chaque fois qu’il porte sur des données sensibles. Il exige aussi la consultation de la CNIL si les conclusions de cette analyse d’impact montrent que le traitement est susceptible de présenter des risques élevés pour les libertés et droits des personnes concernées.

Au reste, ces garanties sont maintenues dans le texte de la commission des lois, ce qui n’est pas cohérent à partir du moment où est exigé le rétablissement d’une autorisation préalable de la CNIL pour tous les traitements.

Debut de section - PermalienPhoto de Sophie Joissains

Cet amendement vise à revenir sur la position de la commission, qui a choisi de maintenir un niveau élevé de protection des données personnelles en matière pénale, en conservant le régime d’autorisation préalable qui existe actuellement.

La commission considère que la simple possibilité de réaliser une analyse d’impact laissée à l’appréciation des personnes morales n’est pas une garantie suffisante s’agissant de fichiers en matière pénale.

Je rappelle que le considérant 15 de la directive affirme que « le rapprochement des législations des États membres ne devrait pas conduire à un affaiblissement de la protection des données à caractère personnel qu’elles offrent » et qu’il convient que « les États membres ne soient pas empêchés de prévoir des garanties plus étendues que celles établies dans la présente directive. »

Sur l’invitation du Conseil d’État, l’article 19 du projet de loi maintient désormais une autorisation préalable pour les seuls fichiers mis en œuvre pour le compte de l’État. Il convient également de maintenir ce régime pour les fichiers mis en œuvre par les autres personnes morales, qui peuvent être tout aussi dangereux pour les droits et libertés des personnes.

La commission des lois a estimé que, en matière pénale, tout fichier entrant dans le champ d’application de la directive doit être autorisé préalablement : le droit actuel doit être maintenu et non affaibli !

En conséquence, la commission émet un avis défavorable sur cet amendement.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 104, présenté par le Gouvernement, est ainsi libellé :

Alinéa 13

Supprimer les mots :

, dans les conditions prévues au 7 de l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Cet amendement vise à supprimer le renvoi opéré au règlement pour définir le contenu de l’analyse d’impact devant être réalisée préalablement au traitement par le responsable. En effet, le contenu de l’analyse d’impact exigé par l’article 27 de la directive diffère de celui qui est prévu par le règlement.

Ainsi, la directive n’impose pas une description systématique des finalités du traitement, ni une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard de ces finalités.

Le contenu de l’analyse d’impact, de nature réglementaire, sera précisé dans le décret.

Debut de section - PermalienPhoto de Sophie Joissains

Je reste inquiète quant à l’absence de définition législative du contenu de l’analyse d’impact, mais je comprends la volonté du Gouvernement de la préciser par décret plutôt que par renvoi au règlement européen.

La commission a émis un avis favorable sur cet amendement.

L ’ amendement est adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 69, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :

Alinéa 15

Après le mot :

consulte

insérer les mots :

pour avis

La parole est à Mme Esther Benbassa.

Debut de section - PermalienPhoto de Esther Benbassa

Nous nous réjouissons que ce projet de loi ait été amélioré lors de son examen par la commission des lois, notamment avec l’ajout d’un volet propre aux collectivités territoriales. En effet, initialement absentes du projet de loi, ces dernières sont largement concernées par le traitement des données personnelles, puisqu’elles gèrent en leur sein de nombreux fichiers donnant lieu à de nombreuses obligations lourdement sanctionnées en cas de non-respect.

C’est pourquoi nous proposons, avec cet amendement, que soient clarifiées les modalités de saisine de la CNIL.

L’alinéa 15 de l’article 19 permet actuellement aux responsables de traitement ou sous-traitants de consulter la CNIL préalablement au traitement de certaines données à caractère personnel.

Nous souhaitons, et relayons en cela une attente de l’Assemblée des départements de France, que cette consultation de la CNIL soit assortie d’un avis de cette même commission, afin que les collectivités territoriales, notamment, soient épaulées et sécurisées dans leurs activités de traitement de données personnelles.

Debut de section - PermalienPhoto de Sophie Joissains

La possibilité de consulter la CNIL est d’ores et déjà prévue, qu’il s’agisse de recueillir son avis ou son autorisation. Il ne me semble donc pas utile d’ajouter les mots : « pour avis », qui pourraient avoir pour effet de restreindre le champ de sa consultation.

En tout état de cause, le texte de la commission est de nature à vous rassurer, car il est prévu, quelques alinéas plus haut, l’autorisation, obligation et préalable, de la CNIL à tout traitement de données en matière pénale.

C’est pourquoi la commission sollicite le retrait de cet amendement.

Debut de section - Permalien
Nicole Belloubet

Mme Nicole Belloubet, garde des sceaux. Même avis sur l’avis de la CNIL !

Sourires.

Debut de section - Permalien
Nicole Belloubet

Le Gouvernement demande lui aussi le retrait de cet amendement.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 69 est retiré.

L’amendement n° 132, présenté par MM. Durain et Sutour, Mme S. Robert, MM. Sueur, Kanner et les membres du groupe socialiste et républicain, est ainsi libellé :

Alinéa 25

Supprimer les mots :

, dans la mesure du possible,

La parole est à M. Jérôme Durain.

Debut de section - PermalienPhoto de Jérôme Durain

Le nouvel article 70-8 inséré dans la loi du 6 janvier 1978 par l’article 19 du présent projet de loi prévoit que les données à caractère personnel figurant dans les traitements en matière pénale mis en œuvre par les autorités compétentes devront, « dans la mesure du possible », distinguer celles qui sont fondées sur des faits de celles qui reposent sur des appréciations personnelles. Plus qu’un principe général, l’exactitude des données est un principe fondateur du droit de la protection des données personnelles.

Le 4° de l’article 6 de la loi Informatique et libertés, qui définit les conditions de licéité d’un traitement de données à caractère personnel, précise qu’un traitement ne peut porter que sur des données à caractère personnel « exactes, complètes et, si nécessaire, mises à jour ». Il impose en outre que des mesures appropriées soient prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.

Il est impératif en matière pénale, pour les traitements mis en œuvre par la police et les autorités judiciaires, de distinguer les données à caractère personnel fondées sur des faits de celles qui reposent sur une appréciation subjective.

Debut de section - PermalienPhoto de Sophie Joissains

Je partage pleinement l’objectif des auteurs de cet amendement, à savoir garantir le principe d’exactitude des données et différencier les données fondées sur des faits de celles qui sont fondées sur des appréciations. Néanmoins, la suppression des mots : « dans la mesure du possible » me semble, en l’espèce, difficile à appliquer en pratique.

C’est pourquoi j’émets un avis de sagesse.

Debut de section - Permalien
Nicole Belloubet

Pour les mêmes raisons que Mme la rapporteur, j’émets quant à moi un avis défavorable sur cet amendement.

L ’ amendement est adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 105, présenté par le Gouvernement, est ainsi libellé :

Alinéas 26 à 28

Rédiger ainsi ces alinéas :

« Art. 70-9. – Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

« Aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée.

« Tout profilage qui entraîne une discrimination à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel mentionnées au I de l’article 8 est interdit.

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Pour les mêmes motifs que l’amendement visant l’article 14 du projet de loi, le Gouvernement souhaite revenir au texte initial sur les traitements automatisés des données. Le texte adopté par la commission des lois perd en effet en lisibilité, du fait de la multiplication des renvois au règlement, au code pénal et à la loi du 27 mai 2008.

En outre, les précisions qui sont apportées sur le profilage discriminatoire apparaissent insuffisantes, car elles ne renvoient pas à la totalité des dispositions pénales applicables aux discriminations, notamment en matière de harcèlement sexuel.

Debut de section - PermalienPhoto de Sophie Joissains

Il s’agit encore une fois du problème du profilage. La commission des lois, dans un souci d’harmonisation entre le droit national et le droit européen, a choisi de renvoyer à la définition du profilage donné par le règlement général sur la protection des données.

Ce règlement définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

La définition proposée par le Gouvernement est la suivante : « Un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne ».

La rédaction votée par la commission est plus complète, donc plus protectrice des libertés individuelles. Surtout, le Gouvernement n’a pas transposé un point essentiel de la directive, à savoir l’interdiction de prendre des décisions exclusivement fondées sur un algorithme lorsqu’elles affectent les individus de manière significative, et pas seulement lorsqu’elles produisent des effets juridiques.

Par conséquent, la commission émet un avis défavorable sur cet amendement.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 106, présenté par le Gouvernement, est ainsi libellé :

Alinéa 34, seconde phrase

Après le mot :

vérifie

insérer les mots :

, dans la mesure du possible,

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Le présent amendement vise à rétablir l’obligation de moyens imposée par la directive aux autorités compétentes en matière de vérification des données avant leur transmission ou mise à disposition.

La directive impose en effet aux autorités compétentes de vérifier, dans la mesure du possible, la qualité des données. Leur imposer une obligation de résultat, telle qu’elle a été adoptée en commission des lois, m’apparaît disproportionné, car cela impliquerait que la transmission de bonne foi d’une donnée qui ne serait plus à jour, y compris dans les cas où l’autorité compétente ne pouvait pas le savoir, pourrait faire l’objet d’une sanction de la CNIL, voire d’une sanction pénale dans certains cas.

Ainsi, la transmission de la fiche du casier judiciaire d’une personne française à des autorités judiciaires étrangères pourrait engager la responsabilité du gestionnaire de casier, si cette fiche n’est pas à jour des condamnations, alors même qu’un délai de quelques semaines existe entre leur prononcé par une juridiction et leur inscription au casier.

Le rétablissement de l’obligation de moyens prévu par la directive paraît d’autant plus justifié que le projet de loi fixe des garanties pour s’assurer de la fiabilité des délais. En particulier, dès que l’autorité compétente prend connaissance de l’inexactitude d’une donnée transmise, elle doit en aviser le destinataire.

Debut de section - PermalienPhoto de Sophie Joissains

Cet amendement tend à revenir sur l’obligation, pour les services, de vérifier la qualité des informations avant leur transmission à des tiers.

Contrairement à ce qui est avancé dans l’objet de l’amendement, il ne s’agit pas ici de sanctionner les erreurs de bonne foi. Néanmoins, il est évident qu’au moins avant transfert des données, leur qualité et, surtout, leur légalité soient examinées, et cela de façon très sérieuse.

Considérer une telle obligation disproportionnée semble suggérer que l’on n’avait pas forcément l’intention d’organiser la vérification régulière de la qualité de ces données avant leur transmission, ce qui serait inquiétant.

Pour ces raisons, la commission émet un avis défavorable sur cet amendement.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 107, présenté par le Gouvernement, est ainsi libellé :

Alinéa 37

Après le mot :

établit

insérer les mots :

dans la mesure du possible et le cas échéant

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Mme Nicole Belloubet, garde des sceaux. Je ne désespère pas !

Sourires.

Debut de section - Permalien
Nicole Belloubet

Pour les mêmes motifs que l’amendement précédent, le présent amendement vise également à rétablir l’obligation de moyens, et non de résultat, imposée par la directive aux responsables de traitement dans la distinction des données en fonction des différentes catégories de personnes concernées.

Imposer au responsable du traitement de tout mettre en œuvre pour distinguer les données selon que la personne concernée est mise en cause dans une procédure pénale, coupable, victime ou tiers à une infraction pénale, constitue une stricte transposition de la directive et une garantie suffisante pour les personnes.

Maintenir l’obligation de résultat adoptée par la commission des lois paraît, je crois, excessif. Une telle obligation reviendrait par exemple à pouvoir reprocher un manquement à un responsable de traitement qui n’aurait pas été immédiatement informé de ce que la personne initialement suspectée d’être l’auteur d’une infraction a été ensuite mise hors de cause et est donc devenue un tiers à l’infraction pénale.

Debut de section - PermalienPhoto de Sophie Joissains

Cet amendement tend à revenir sur l’obligation, pour les responsables de traitement, de distinguer les données en fonction de la qualité des personnes concernées – victimes, tiers, mis en cause.

Pourtant, les durées de conservation et même les droits diffèrent en fonction de la qualité de ces personnes, selon qu’elles sont victimes ou mises en cause. Il semble donc évident de prévoir que ces fichiers doivent rigoureusement distinguer la qualité de ces personnes.

En conséquence, la commission émet un avis défavorable sur cet amendement.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 70, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :

Alinéa 42

Avant le mot :

Afin

insérer les mots :

Sans préjudice des obligations nationales existantes liées à la sécurité des traitements et

La parole est à Mme Esther Benbassa.

Debut de section - PermalienPhoto de Esther Benbassa

Comme je l’énonçais en présentant l’amendement n° 69 déposé par mon groupe, les collectivités territoriales ont à traiter, dans leurs différents services, de nombreux fichiers de données pouvant regrouper toutes sortes d’informations, y compris les plus sensibles sur nos concitoyens.

De nombreuses étapes sécuritaires doivent déjà être respectées, et les fonctionnaires et agents de ces collectivités s’interrogent sur les nouvelles obligations à respecter, qui s’ajoutent à celles déjà existantes.

C’est pourquoi, en portant une autre recommandation de l’Assemblée générale des départements, nous vous proposons de clarifier cette question de la sécurité des données à leur échelle.

Les dispositions de cet amendement permettent ainsi au responsable de traitement de ne pas occulter les différentes obligations qui lui incombent déjà. À titre d’exemple, comme l’énonce l’objet de notre amendement, le secteur public doit aujourd’hui respecter le référentiel général de sécurité pour les hébergeurs de données de santé, ainsi que les exigences de l’ASIP Santé, entre autres. Qu’en sera-t-il avec les nouvelles règles qui incomberont aux services concernés ?

Aussi apparaît-il nécessaire de préciser que le respect des nouvelles règles adaptées à notre droit européen se fasse sans préjudice des obligations nationales existantes liées à la sécurité des traitements.

Debut de section - PermalienPhoto de Sophie Joissains

Si les dispositions de cet amendement partent d’un bon sentiment, que je partage, les autres obligations nationales existantes en matière de sécurité continuent d’être obligatoires. Il n’est pas nécessaire de rappeler que la loi reste applicable.

Pour ces raisons, la commission sollicite le retrait de cet amendement.

Debut de section - Permalien
Nicole Belloubet

Même avis : le Gouvernement demande le retrait de cet amendement.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 70 est retiré.

L’amendement n° 148, présenté par Mme M. Carrère, est ainsi libellé :

Alinéa 68

Compléter cet alinéa par les mots :

et de ses sous-traitants, ainsi que les stipulations du contrat de sous-traitance relatives à la protection des données personnelles

La parole est à Mme Maryse Carrère.

Debut de section - PermalienPhoto de Maryse Carrère

Comme je le soulignais hier lors de la discussion générale et pendant l’examen de l’article 8, le RGPD introduit une nouvelle répartition des compétences entre autorités de contrôles européennes potentiellement déstabilisatrices.

Nous craignons notamment que la gestion des données personnelles ne soit traitée dans des États membres ayant choisi, dans les marges de manœuvre laissées par le RGPD, les solutions les moins protectrices pour les données personnelles.

Sans une coopération efficace entre autorités de contrôles, cela pourrait donner lieu à un affaiblissement de la protection effective des données personnelles de nos concitoyens, si la gestion de leurs données aujourd’hui traitées en France venait à être délocalisée.

C’est pourquoi nous proposons de renforcer le droit d’information des personnes concernées, en prévoyant qu’elles pourront être informées de l’identité des sous-traitants et de leurs coordonnées, ainsi que des stipulations du contrat de sous-traitance relatives à la protection des données.

Debut de section - PermalienPhoto de Sophie Joissains

Une telle précision étant de nature à renforcer le droit à l’information des personnes, la commission émet un avis favorable sur cet amendement.

Debut de section - Permalien
Nicole Belloubet

La communication des coordonnées du sous-traitant n’est imposée ni par la directive ni par le règlement. Il ne paraît dès lors pas cohérent de fixer un régime différent pour ces deux instruments pourtant identiques, en exigeant des seules autorités compétentes dans le champ de la directive, et non des entreprises, la transmission de ces coordonnées.

Par conséquent, le Gouvernement émet un avis défavorable.

L ’ amendement est adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 108, présenté par le Gouvernement, est ainsi libellé :

Alinéas 87 et 89

Supprimer les mots :

, et au bout d’un mois maximum,

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Le présent amendement vise à supprimer le délai d’un mois imposé au responsable de traitement pour rectifier ou effacer des données à caractère personnel qui a été ajouté par la commission des lois. En effet, la directive ne fixe pas de délai butoir.

En outre, une échéance à un mois risque de poser d’importantes difficultés pratiques, dès lors que son point de départ n’est nullement précisé et qu’un mois paraît bien trop court pour permettre au responsable de traitement d’obtenir des informations nécessaires au traitement de la demande, puis de procéder aux rectifications ou aux effacements nécessaires.

Enfin, tant le délai imparti au responsable de traitement pour répondre aux demandes de rectification ou d’effacement adressées sur le fondement du décret d’application de la loi de 1978, que celui qui est imparti au ministère public ou à une juridiction pour statuer sur toute demande qui leur est adressée, sont de deux mois.

Le délai de réponse du responsable de traitement aux demandes formées sur le fondement de la directive pourra être fixé dans le décret.

Debut de section - PermalienPhoto de Sophie Joissains

Le présent amendement vise à revenir sur le délai d’un mois à partir de la réception de la demande, qui est le délai actuellement prévu pour le traitement d’antécédents judiciaires, le TAJ.

La commission émet donc un avis défavorable sur cet amendement.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 147, présenté par Mme M. Carrère, est ainsi libellé :

Après l’alinéa 89

Insérer un alinéa ainsi rédigé :

« …° Que soient effacées dans le délai de quarante-huit heures les données biométriques la concernant légalement stockées sur des serveurs distants.

La parole est à Mme Maryse Carrère.

Debut de section - PermalienPhoto de Maryse Carrère

Ces dernières années, de plus en plus de constructeurs d’appareils numériques à usage privé utilisent des technologies fonctionnant à partir de la collecte de données biométriques, empreintes digitales ou reconnaissance faciale à des fins d’authentification.

En l’état actuel du droit, une distinction est opérée selon que ces authentifications biométriques sont stockées dans l’appareil ou depuis des serveurs distants. Dans le premier cas, la CNIL considère que le stockage de donnée biométrique est couvert par l’exemption domestique ; dans le second cas, en revanche, la CNIL exigeait une demande d’autorisation préalable du fournisseur de l’application ou de l’appareil, en raison des risques particuliers liés à un stockage externe.

Bien souvent, le consommateur ignore si les technologies d’authentification biométrique auxquelles il recourt sont stockées sur l’appareil ou sur un serveur distant. Bien souvent, les informations disponibles en ligne sur les sites des constructeurs ne sont pas suffisamment précises pour comprendre les modalités de stockage de ces données sensibles.

Cet amendement vise donc à ouvrir un droit de rectification aux personnes constatant le stockage de leurs données biométriques sur un serveur distant.

Debut de section - PermalienPhoto de Sophie Joissains

Cet amendement tend à instaurer, en matière pénale, pour les traitements concernés par la directive, un droit à l’effacement des données biométriques légalement stockées sur des serveurs distants. De surcroît, le responsable de traitement devrait pouvoir les effacer dans un délai de quarante-huit heures.

Je comprends très bien l’intention qui sous-tend cet amendement, mais je ne suis pas sûre que ce délai soit réaliste. Et sur quel principe fonder ce droit à l’effacement de données légalement collectées et traitées ? En tout état de cause, il ne peut y avoir un droit généralisé à l’effacement des données biométriques légalement stockées en matière pénale.

Pour ces raisons, la commission sollicite le retrait de cet amendement.

Debut de section - Permalien
Nicole Belloubet

Même avis : le Gouvernement demande le retrait de cet amendement.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 147 est retiré.

L’amendement n° 109, présenté par le Gouvernement, est ainsi libellé :

Alinéa 110

Remplacer les mots :

et de former un recours juridictionnel

par une phrase ainsi rédigée :

Hors le cas prévu au 1° du II, il l’informe également de la possibilité de former un recours juridictionnel.

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Cet amendement a pour objet de revenir sur la modification, adoptée par la commission des lois, exigeant que, dans le cadre du droit à l’information, le responsable du traitement informe la personne concernée de la possibilité de former un recours juridictionnel.

En effet, la directive n’impose au responsable du traitement d’informer la personne concernée de cette possibilité de former un tel recours que dans le cadre des droits d’accès, de rectification ou d’effacement. Vous le savez, puisque nous avons affirmé ce principe à plusieurs reprises, le Gouvernement ne souhaite pas effectuer de surtransposition.

Les garanties offertes à la personne concernée en cas de restriction de son droit à l’information ne sont pas pour autant réduites, puisqu’elle pourra exercer ses droits par l’intermédiaire de la CNIL, puis, en cas de refus de sa demande par cet intermédiaire, former le cas échéant un recours juridictionnel.

Debut de section - PermalienPhoto de Sophie Joissains

Sous prétexte de stricte transposition de la directive, cet amendement vise en réalité à complexifier et à réduire le droit à l’information des personnes.

C’est pourquoi la commission émet un avis défavorable sur cet amendement.

L ’ amendement n ’ est pas adopté.

L ’ article 19 est adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

Je suis saisi de deux amendements identiques.

L’amendement n° 3 rectifié septies est présenté par Mme Bruguière, M. Sol, Mme Goy-Chavent, M. Henno, Mme Deromedi, MM. Bansard, A. Marc et D. Laurent, Mme Renaud-Garabedian, M. Poniatowski, Mme Garriaud-Maylam, MM. de Nicolaÿ, Bonhomme et Milon, Mme Lamure, M. Brisson, Mmes Billon et Bories, MM. Lefèvre et Guerriau, Mmes Morhet-Richaud, Eustache-Brinio et Bonfanti-Dossat, M. Bonne, Mme Mélot, MM. Lagourgue, Leleux, Chasseing, B. Fournier, Bouchet et Husson, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi.

L’amendement n° 71 est présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.

Ces deux amendements sont ainsi libellés :

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Le chapitre II du titre II du livre VIII du code de la sécurité intérieure est complété par un article L. 822-… ainsi rédigé :

« Art. L. 822 -… - Lorsque la mise en œuvre d’une technique de recueil de renseignement prend fin, le service qui l’a réalisée informe promptement la personne concernée de la nature et de la durée de la technique, du type et du volume de renseignements recueillis, de la finalité ayant justifié le recueil et de l’identité du service, ainsi que de ses droits prévus à l’article L. 841-1 du présent code. La transmission de ces informations ne peut être retardée qu’en présence d’un risque manifeste et effectif de compromettre l’objectif qui a initialement justifié la mise en œuvre de la technique, et à la condition que la Commission nationale de contrôle des techniques de renseignement soit dûment informée de ce retard. »

L’amendement n° 3 rectifié septies n’est pas soutenu.

La parole est à Mme Esther Benbassa, pour présenter l’amendement n° 71.

Debut de section - PermalienPhoto de Esther Benbassa

Avec cette série d’amendements, nous entrons dans le nécessaire débat sur l’applicabilité du droit européen aux dispositions issues de la loi sur le renseignement de 2015 qui ont été opportunément écartées de la discussion jusqu’ici.

Permettez-moi de vous rappeler que l’article 1er de la directive 2016/680 définit son champ d’application comme couvrant tout « traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales ». Il précise explicitement que font partie de ces traitements ceux qui concernent « la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Seules les activités relatives à la sécurité nationale ne relèvent pas du champ d’application de la directive.

C’est cet argument qui nous sera opposé : la lutte contre le terrorisme, premier objectif de la loi sur le renseignement, relèverait de la sécurité nationale et ne serait donc pas concernée par les mesures protectrices instituées par la directive.

Cet argument, mes chers collègues, est quelque peu fallacieux. Nous le savons, l’Union européenne et ses États membres ont systématiquement considéré que la lutte contre le terrorisme entrait dans le champ d’application du droit de l’Union, prenant de nombreux actes européens à son sujet. La dernière directive 2017/541 « relative à la lutte contre le terrorisme » en est un exemple manifeste.

Nous proposons en conséquence de mettre en conformité le code de la sécurité intérieure avec la directive 2016/680 et de préciser que, lorsque la mise en œuvre d’une technique de recueil de renseignement prend fin, le service qui l’a réalisée informe promptement la personne concernée de la nature et de la durée de la technique, du type et du volume de renseignements recueillis et de la finalité ayant justifié le recueil et de l’identité du service, ainsi que de ses droits.

Debut de section - PermalienPhoto de Sophie Joissains

Cet amendement vise à étendre le pouvoir de contrôle de la CNCTR sur les données communiquées par les services étrangers.

Or ce contrôle a été explicitement restreint par la loi de 2015 pour des raisons évidentes de coopération entre les États. Si nous souhaitons que nos partenaires nous transmettent des informations, il n’est pas raisonnable de multiplier les personnes ayant accès à celles-ci.

Aussi, la commission émet un avis défavorable sur cet amendement.

Debut de section - Permalien
Nicole Belloubet

Madame la sénatrice, j’ai eu l’occasion de m’exprimer hier sur ce sujet en ouvrant la discussion générale.

À mon sens, les informations de cette nature ne peuvent pas être portées à la connaissance de la personne qui fait l’objet d’une mesure de surveillance : en procédant ainsi, on risquerait de fragiliser assez largement les capacités d’action des services de renseignement. On exposerait leur mode opératoire et, dès lors, on porterait atteinte à la sécurité de nos concitoyens.

Le travail de renseignement ne peut s’inscrire, ce me semble, que dans un impératif de confidentialité. À l’inverse, le dispositif que vous envisagez serait de nature à vider les techniques de renseignement de leur substance, et donc à anéantir le travail des services de renseignement.

Pour ces raisons, j’émets un avis défavorable sur cet amendement.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 72, présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Au 4° de l’article L. 833-2 du code de la sécurité intérieure, les mots : « communiqués par des services étrangers ou par des organismes internationaux ou » sont supprimés.

La parole est à Mme Esther Benbassa.

Debut de section - PermalienPhoto de Esther Benbassa

Mes chers collègues, dans le même sens que l’amendement précédemment défendu, le présent amendement vise à mettre le code de la sécurité intérieure en conformité avec la directive, laquelle est plus protectrice des libertés fondamentales de nos concitoyens.

En matière de contrôle, la directive contient deux exigences.

D’une part, il convient que, dans chaque État membre, une autorité indépendante « contrôle l’application des dispositions adoptées en application de [cette] directive et de ses mesures d’exécution et veille au respect de celles-ci ». En France, en matière de renseignement, cette autorité de contrôle est la Commission nationale de contrôle des techniques de renseignement.

D’autre part, la directive précise que « chaque État membre prévoit, par la loi, que chaque autorité de contrôle dispose de pouvoirs d’enquête effectifs. Ces pouvoirs comprennent au moins celui d’obtenir du responsable du traitement ou du sous-traitant l’accès à toutes les données à caractère personnel qui sont traitées. »

Toutefois, en l’état actuel de notre droit, la CNCTR ne peut pas avoir accès aux renseignements collectés, exploités, échangés ou conservés par les services français, dès lors que ces renseignements ont initialement été « communiqués par des services étrangers ou par des organismes internationaux ».

Bien sûr, cette disposition empêche entièrement la CNCTR de vérifier que les données personnelles collectées et exploitées par les services le sont de façon licite. Elle entre en totale contradiction avec les exigences de la directive et doit donc être corrigée.

Tel est l’objet de cet amendement.

Debut de section - Permalien
Nicole Belloubet

Le Gouvernement émet, lui aussi, un avis défavorable sur cet amendement.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

Je suis saisi de deux amendements identiques.

L’amendement n° 4 rectifié septies est présenté par Mme Bruguière, MM. A. Marc, Sol, Henno et D. Laurent, Mme Deromedi, M. Bansard, Mmes Goy-Chavent et Renaud-Garabedian, M. Poniatowski, Mme Garriaud-Maylam, MM. Bonhomme, de Nicolaÿ, Milon et Chasseing, Mme Lamure, M. Brisson, Mme Bories, M. Bonne, Mmes Bonfanti-Dossat et Billon, MM. Lefèvre et Guerriau, Mmes Morhet-Richaud et Eustache-Brinio, M. Lagourgue, Mme Mélot, MM. Bouchet et B. Fournier, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi.

L’amendement n° 73 est présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.

Ces deux amendements sont ainsi libellés :

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Après le cinquième alinéa de l’article L. 854-9 du code de la sécurité intérieure, il est inséré un alinéa ainsi rédigé :

« Le Conseil d’État, statuant dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, peut aussi être saisi par toute personne souhaitant vérifier qu’aucune technique de renseignement prévue au présent chapitre n’est irrégulièrement mise en œuvre à son égard et justifiant de la mise en œuvre préalable de la procédure prévue au quatrième alinéa du présent article. »

L’amendement n° 4 rectifié septies n’est pas soutenu.

La parole est à Mme Esther Benbassa, pour présenter l’amendement n° 73.

Debut de section - PermalienPhoto de Esther Benbassa

Dans la lignée des amendements précédents, nous souhaitons, une nouvelle fois, garantir les droits de nos concitoyens, en l’espèce le droit à un recours effectif.

L’article 54 de la directive 2016/680 exige, sans aucune exception possible, que les États membres offrent aux particuliers une voie de recours juridictionnel pour contester la licéité d’un traitement portant sur leurs données personnelles.

En contradiction avec cette disposition, l’article L. 854-9 du code de la sécurité intérieure prévoit que, en matière de surveillance internationale, les particuliers ne peuvent pas agir en justice pour contester la licéité d’une mesure dont ils ont fait l’objet.

Seule la CNCTR dispose de ce pouvoir, étant entièrement libre d’agir ou non. Cette absence de voie de recours juridictionnel est parfaitement contraire aux exigences de la directive. Il convient donc d’y mettre un terme.

Debut de section - PermalienPhoto de Sophie Joissains

La directive ne concerne que les fichiers de données personnelles et non la mise en œuvre de techniques de recueil de renseignements.

Au reste, avec cet amendement, on semble faire une confusion entre deux types de voies de recours : celles qui doivent être organisées pour la licéité des traitements de données personnelles et celles qui portent sur les techniques des fichiers de renseignement.

Voilà pourquoi la commission émet un avis défavorable.

Debut de section - Permalien
Nicole Belloubet

Le Gouvernement est, lui aussi, défavorable à cet amendement.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

Je suis saisi de deux amendements identiques.

L’amendement n° 5 rectifié septies est présenté par Mme Bruguière, M. Sol, Mme Goy-Chavent, M. A. Marc, Mme Deromedi, MM. D. Laurent et Henno, Mmes Renaud-Garabedian et Garriaud-Maylam, MM. de Nicolaÿ, Bonhomme, Milon et Chasseing, Mmes Lamure, Billon et Bories, MM. Brisson, Lefèvre et Guerriau, Mmes Morhet-Richaud et Eustache-Brinio, MM. Bonne et Lagourgue, Mme Mélot, MM. Bouchet et B. Fournier, Mme Lanfranchi Dorgal et MM. Gremillet et Panunzi.

L’amendement n° 74 est présenté par Mme Benbassa et les membres du groupe communiste républicain citoyen et écologiste.

Ces deux amendements sont ainsi libellés :

Après l’article 19

Insérer un article additionnel ainsi rédigé :

Le premier alinéa de l’article L. 863-2 du code de la sécurité intérieure est complété par une phrase ainsi rédigée : « Ces services ne peuvent transmettre à d’autres services, français ou étrangers ou obtenir des renseignements d’autres services, français ou étrangers, que dans les conditions prévues au chapitre Ier du titre II du présent livre ainsi que, s’agissant des autorités d’un État n’appartenant pas à l’Union européenne, dans les conditions prévues à l’article 70-25 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

L’amendement n° 5 rectifié septies n’est pas soutenu.

La parole est à Mme Esther Benbassa, pour présenter l’amendement n° 74.

Debut de section - PermalienPhoto de Esther Benbassa

Mme Esther Benbassa. Heureusement que je suis là pour défendre ces dispositions !

Exclamations amusées sur des travées du groupe Les Républicains.

Debut de section - PermalienPhoto de Esther Benbassa

Mme Esther Benbassa. En tout cas, mes chers collègues, vous constaterez que je fais mon travail de parlementaire !

Bravo ! et applaudissements sur les travées du groupe Les Républicains.

Debut de section - PermalienPhoto de Esther Benbassa

Toujours afin d’assurer la mise en conformité de notre droit avec le droit européen, cet amendement tend à offrir des garanties en matière de transfert des renseignements. En effet, le code de la sécurité intérieure n’impose aujourd’hui aucune condition ni aucun contrôle quant aux échanges de renseignements entre les autorités nationales et d’autres autorités, qu’elles soient françaises ou étrangères.

Je le répète, cette situation est contraire, non seulement à la directive, qui impose des normes en matière de transfert de renseignements hors Union européenne, mais aussi à notre propre droit : ce dernier exige que les échanges de données avec des autorités françaises, européennes ou hors Union européenne obéissent à l’un des intérêts fondamentaux de la Nation, et que la CNCTR soit en mesure d’en assurer le contrôle.

Nous proposons, en conséquence, de modifier le code de la sécurité intérieure en ce sens.

Debut de section - PermalienPhoto de Sophie Joissains

La directive ne s’applique pas aux fichiers de renseignement à finalité mixte des services spécialisés de renseignement. Choisir d’appliquer de telles restrictions aux échanges entre services de renseignement ne pourrait qu’affaiblir la coopération entre services de renseignement.

La commission émet, partant, un avis défavorable sur cet amendement.

Debut de section - Permalien
Nicole Belloubet

Le Gouvernement émet également un avis défavorable, monsieur le président.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

TITRE III bis

Dispositions visant à faciliter l’application des règles relatives à la protection des données à caractère personnel par les collectivités territoriales

(Division et intitulé nouveaux)

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

TITRE III bis

DISPOSITIONS VISANT À FACILITER L’APPLICATION DES RÈGLES RELATIVES À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PAR LES COLLECTIVITÉS TERRITORIALES

(Division et intitulé nouveaux)

I. – Le code général des collectivités territoriales est ainsi modifié :

1° Le chapitre V du titre III du livre III de la deuxième partie est complété par une section 7 ainsi rédigée :

« Section 7

« Dotation pour la protection des données à caractère personnel

« Art. L. 2335 -17. – À compter de l’exercice 2019, les communes reçoivent une dotation spéciale, prélevée sur les recettes de l’État, au titre des charges qu’elles supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

« Cette dotation, déterminée en fonction de la population des communes, est égale :

« – à 5 € par habitant compris entre le 1er et le 999e habitant ;

« – à 2 € par habitant compris entre le 1000e et le 4 999e habitant ;

« – à 1 € par habitant compris entre le 5 000e et le 9 999e habitant ;

« – à 0, 1 € par habitant compris entre le 10 000e et le 99 999e habitant ;

« – à 0, 01 € par habitant au-delà du 100 000e habitant.

« Pour l’application du présent article, la population à prendre en compte est celle définie à l’article L. 2334-2 du présent code. » ;

2° Le I de l’article L. 3662-4 est complété par un 6° ainsi rédigé :

« 6° De la dotation prévue à l’article L. 5211-35-3 du présent code. » ;

3° Le livre II de la cinquième partie est ainsi modifié :

a) La sous-section 2 de la section 6 du chapitre Ier du titre Ier est complétée par un article L. 5211-35-3 ainsi rédigé :

« Art. L. 5211 -35 -3. – À compter de l’exercice 2019, les établissements publics de coopération intercommunale à fiscalité propre reçoivent une dotation spéciale, prélevée sur les recettes de l’État, au titre des charges qu’ils supportent pour se mettre en conformité avec les obligations qui leur incombent, en tant que responsables de traitement, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

« Cette dotation, déterminée en fonction de la population totale des communes membres de ces établissements publics, est égale :

« – à 1 € par habitant compris entre le 1er et le 14 999e habitant ;

« – à 0, 5 € par habitant compris entre le 15 000e et le 49 999e habitant ;

« – à 0, 1 € par habitant compris entre le 50 000e et le 99 999e habitant ;

« – à 0, 01 € par habitant au-delà du 100 000e habitant.

« Pour l’application du présent article, la population à prendre en compte est celle définie à l’article L. 2334-2 du présent code. » ;

b) Après le 9° de l’article L. 5214-23, il est inséré un 9° bis ainsi rédigé :

« 9° bis La dotation prévue à l’article L. 5211-35-3 du présent code ; »

c) Le 14° de l’article L. 5215-32 est rétabli dans la rédaction suivante :

« 14° La dotation prévue à l’article L. 5211-35-3 du présent code ; »

d) Après le 9° de l’article L. 5216-8, il est inséré un 9° bis ainsi rédigé :

« 9° bis La dotation prévue à l’article L. 5211-35-3 ; ».

II. – La perte de recettes résultant pour l’État du I ci-dessus est compensée à due concurrence par le relèvement du taux de la taxe mentionnée à l’article 302 bis KH du code général des impôts.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 110, présenté par le Gouvernement, est ainsi libellé :

Supprimer cet article.

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Mesdames, messieurs les sénateurs, madame la rapporteur, permettez-moi de prendre quelques instants pour développer les raisons qui ont conduit le Gouvernement à déposer cet amendement.

L’article 19 bis, voté par votre commission des lois, crée à destination des communes et des établissements publics de coopération intercommunale à fiscalité propre une nouvelle dotation qui s’élèverait, au total, à 170 millions d’euros. Cette dotation serait compensée par la hausse de la taxe sur les services fournis par les opérateurs de communications électroniques.

Le Gouvernement vous demande de revenir sur la création de ce fonds, et ce pour plusieurs raisons.

Tout d’abord, il est loin d’être certain que ce dispositif permette d’atteindre les objectifs que vous lui avez assignés. En effet, il est difficile de déterminer dans quelle mesure cette nouvelle dotation, d’un montant financier relativement élevé, correspondra réellement aux besoins qu’éprouvent les collectivités territoriales en la matière. De plus, son mode d’attribution, à l’ensemble du bloc communal et selon le seul critère de la population, peut susciter des interrogations : quelle serait l’équité d’un versement de cette nature ?

Ensuite, cette dotation entrerait dans le périmètre des concours financiers, tel qu’il est défini à l’article 16 de la loi de programmation des finances publiques pour les années 2018 à 2022, lequel comprend les prélèvements sur recettes. Or ce même article a fixé un plafond annuel de l’ensemble des concours financiers de l’État aux collectivités locales. Ce montant est globalement stable jusqu’en 2022.

Dès lors, la création d’un concours financier d’un montant de 170 millions d’euros conduirait mécaniquement à réduire dans une proportion équivalente les autres concours financiers de l’État aux collectivités, et ce afin de respecter le plafond prévu par la loi de programmation.

Les concours susceptibles d’être réduits à ce titre pourraient être, par exemple, les dotations de soutien à l’investissement local, la dotation globale de fonctionnement, la DGF, ou encore la dotation de compensation de la réforme de la taxe professionnelle.

De surcroît, cette dotation spéciale serait destinée, dans son esprit, à la mise en conformité des collectivités territoriales au RGPD. Pourtant, elle ne s’appliquerait qu’à partir de l’exercice 2019. Or – nous n’avons cessé de le dire depuis hier – ce règlement doit entrer en vigueur au 25 mai 2018.

Depuis 2004, les collectivités territoriales sont, en tant que responsables de traitement, déjà soumises à des obligations en matière de protection des données. Nous l’avons rappelé hier, et plusieurs d’entre vous l’ont souligné.

Si le RGPD énonce bien de nouvelles obligations, comme la désignation d’un délégué à la protection des données, il ouvre également la voie à une réduction tout à fait substantielle des formalités préalables auxquelles les collectivités sont soumises.

Je pense non seulement aux autorisations diverses, mais aussi à l’obligation de déclaration auprès de la CNIL, dont la Commission européenne a estimé, dans son étude d’impact, qu’elle représente un coût unitaire de 200 euros : ce n’est pas négligeable.

Je songe également à la suppression du régime d’autorisation par arrêté des traitements destinés à mettre à la disposition des usagers de l’administration des téléservices de l’administration électronique, ainsi qu’à l’assouplissement des traitements utilisant le numéro d’inscription au répertoire, le NIR.

Je vous l’assure, mesdames, messieurs les sénateurs, le Gouvernement a véritablement pris la mesure des inquiétudes exprimées par les collectivités territoriales. Au demeurant, le Sénat est pleinement dans son rôle en s’en faisant l’interprète, et il est tout à fait normal que, sur votre initiative, nous puissions avoir ce débat.

J’ai déjà évoqué le regard tout à fait favorable que le Gouvernement porte sur plusieurs mesures proposées par la commission des lois pour accompagner les collectivités locales. Je vous l’ai dit hier, j’ai moi-même alerté les préfets la semaine dernière, en insistant sur la nécessité de nous mobiliser sur la question de la protection des données.

De concert avec la CNIL, nous avons revu la possibilité de mener des actions conjointes avec les associations d’élus, notamment les réseaux d’associations de maires. Ces dernières disposent de la meilleure connaissance du terrain et sont capables, non seulement de faire remonter des questions pertinentes, mais aussi de tracer les solutions d’appui qui peuvent être adoptées.

À cet égard, la mise à jour d’un guide par la CNIL doit être une priorité. La constitution de centres de ressources dans les territoires, qui, elle aussi, a été évoquée hier, sera sans doute également un levier très puissant.

J’y insiste : j’entends vos préoccupations et, pour moi, il n’est nullement question de les traiter à la légère. À mon sens, il est de notre responsabilité que cette nouvelle loi de 1978 s’applique dans les meilleures conditions possible partout, dans tous les territoires.

Il n’en demeure pas moins que le Gouvernement n’est pas favorable à l’établissement de la dotation ici proposée. Ce dispositif conduirait à réduire les dépenses nécessaires à d’autres politiques publiques menées par les collectivités territoriales.

Debut de section - PermalienPhoto de Sophie Joissains

La commission n’a aucune intention de revenir sur sa position !

Nous entendons bien les arguments invoqués par le Gouvernement, en particulier pour ce qui concerne l’enveloppe normée. Mais il faut reconnaître que, sur le plan financier, le Parlement se trouve pieds et poings liés. Notre pouvoir d’initiative budgétaire est totalement corseté : nous ne pouvons pas protéger les collectivités comme nous le souhaiterions et, surtout, comme il serait nécessaire de le faire !

Madame la garde des sceaux, vous avez cité un montant de 200 euros. J’avoue que je n’ai pas les mêmes chiffres. Certaines collectivités – je ne parle pas des plus grandes d’entre elles ! – se sont vu proposer, par des cabinets de conseil ou des cabinets d’avocats, des devis pouvant atteindre 50 000 euros par an, …

Debut de section - PermalienPhoto de Sophie Joissains

… simplement pour obtenir un data protection officer, ou DPO, externalisé.

Oui, les collectivités sont extrêmement touchées par cette réforme. Depuis deux ans qu’est connu le texte de cette directive, elles n’ont pas été informées des mesures qui allaient leur être imposées. Aujourd’hui, elles sont tenues de faire face à une obligation de conformité qui est très violente, et elles ont besoin d’être aidées.

On charge sans cesse les collectivités. Le Gouvernement leur demande déjà de faire énormément d’efforts en matière budgétaire. Une fois de plus, une charge leur est transférée. On présente ce changement comme un progrès ; c’est le cas si l’on ne considère que l’objectif européen, mais les collectivités territoriales n’en seront que plus étranglées !

Si nous avons formulé cette proposition, c’est aussi pour que vous nous soumettiez une contre-proposition, parce que nous attendons votre aide.

Applaudissements sur les travées du groupe Union Centriste, du groupe Les Républicains et du groupe du Rassemblement Démocratique et Social Européen.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. le président de la commission des lois.

Debut de section - PermalienPhoto de Philippe Bas

M. Philippe Bas, président de la commission des lois. Madame la garde des sceaux, en la matière, la situation me semble très simple. Il y a un principe que le Gouvernement doit se décider à appliquer à ses relations avec les collectivités territoriales, et que nous allons d’ailleurs vous proposer d’inscrire dans la Constitution : qui décide paie.

Très bien ! et applaudissements sur les travées du groupe Les Républicains et du groupe Union Centriste.

Debut de section - PermalienPhoto de Philippe Bas

En l’occurrence, le Gouvernement veut imputer aux collectivités territoriales une charge nouvelle sur l’objectif de dépenses déjà arrêté, pour ce qui les concerne, dans les années à venir. Mais, du fait même de ces nouvelles obligations, le périmètre de la dépense change, ce qui est inadmissible !

Un autre sujet suscite un désaccord avec le Gouvernement : la limitation de la vitesse de circulation à quatre-vingts kilomètres à l’heure sur les routes départementales.

Debut de section - PermalienPhoto de Philippe Bas

Dans ce dossier, nous nous apercevons que le Gouvernement envisage, aujourd’hui, d’affecter aux hôpitaux le produit des amendes qui seraient prélevées sur les automobilistes contrevenant aux nouvelles règles. C’est une très bonne idée !

Toutefois, si le principe d’une compensation par l’État pour un service public, à partir du produit d’amendes, est reconnu dans un cas, je ne vois pas pourquoi il ne serait pas admis dans l’autre. Dès lors, il nous semble que la compensation prévue par la commission des lois ne se heurte à aucune objection de principe.

Vous nous opposez un autre argument : il ne serait pas possible d’évaluer à l’avance la charge qui résultera de cette mesure pour les collectivités territoriales…

Debut de section - PermalienPhoto de Philippe Bas

Néanmoins, rien ne nous empêche de provisionner cette dépense en y consacrant une ressource spécifique : c’est précisément ce que fait la commission.

Au fond – Mme la rapporteur le suggère, comme toujours, avec élégance –, ce que nous attendions de vous, ce n’était pas une fin de non-recevoir : nous espérions tout simplement que vous accepteriez de lever le gage, puis que vous trouveriez d’autres ressources.

Si vous affectez des recettes budgétaires à la compensation de la charge des collectivités territoriales, il s’agira de crédits évaluatifs. Si, en définitive, on constate qu’il y a trop d’argent, vous ne le dépenserez pas, voilà tout.

Bien sûr, en transférant intégralement le produit des amendes aux collectivités territoriales, nous procédons peu ou prou à l’aveugle, mais nous n’avons pas les moyens de faire mieux, sauf si, à l’avenir, le Gouvernement nous propose de desserrer les contraintes qui s’exercent sur les amendements parlementaires en matière de finances publiques… Mais c’est un autre débat !

Applaudissements sur les travées du groupe Les Républicains et du groupe Union Centriste.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. René-Paul Savary, pour explication de vote.

Debut de section - PermalienPhoto de René-Paul Savary

Madame la garde des sceaux, je suis surpris de votre réponse. À l’instar de M. Bas, je pensais que vous alliez proposer un autre type de financement : il serait tout à fait normal que l’État, qui donne une responsabilité supplémentaire aux collectivités locales, compense la charge induite par cette compétence.

Dans l’ancien monde, on a longtemps entendu que les transferts de compétences devaient être compensés à l’euro près. On sait bien comment tout cela se terminait, mais au moins l’on exprimait une volonté de compenser. Désormais, on ne prend même plus cette peine !

Voilà pourquoi je pensais que vous alliez proposer une disposition spécifique dans le cadre du prochain projet de loi de finances, ce qui pourrait se comprendre, ou bien dans un autre texte de loi.

A contrario, vous avancez des arguments que j’interprète comme un chantage pur et simple ! §Passez-moi cette impertinence, mais admettez que vous nous dites, en somme : « Faites attention : si le Gouvernement vous donne des crédits d’une main, il reprendra l’équivalent de l’autre. »

Debut de section - PermalienPhoto de René-Paul Savary

Vous nous détaillez même toutes les possibilités qui s’offrent au Gouvernement à cette fin, en citant différents exemples.

Ce n’est pas ainsi que l’on pourra bâtir la confiance entre le Gouvernement et les collectivités locales. Or le Président de la République nous l’a dit et répété, il souhaite un pacte de confiance.

En conséquence, à l’heure où l’on cherche la confiance avec les territoires, à l’heure où ces derniers sont menacés à travers différentes mesures, notamment la suppression de la taxe d’habitation, vous transférez encore de nouvelles charges aux collectivités territoriales.

C’est la raison pour laquelle je soutiens bien volontiers la commission.

Applaudissements sur les travées du groupe Les Républicains.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. Jérôme Durain, pour explication de vote.

Debut de section - PermalienPhoto de Jérôme Durain

M. Jérôme Durain. Madame la garde des sceaux, avant tout, je tiens à vous adresser mes félicitations : vous avez parlé pendant cinq minutes et cinquante secondes pour nous expliquer que, en définitive, nous n’aurions pas un fifrelin… Votre démonstration m’a paru assez éloquente !

Sourires.

Debut de section - PermalienPhoto de Jérôme Durain

Sur le fond, la demande dont il s’agit vous semble-t-elle inopportune ou malvenue ? Les collectivités sont très actives en matière numérique. Elles sont dépositaires d’un certain nombre de fichiers nominatifs : l’état civil, les listes électorales, les fichiers relatifs à la fiscalité, les fichiers cadastraux, les fichiers sociaux, etc. Nous sommes bien au cœur du sujet.

Les collectivités territoriales comptent donc parmi les acteurs du numérique qui sont directement concernés par le RGPD. À ce titre, il paraît tout à fait normal de compenser les nouvelles dépenses qu’elles devront consacrer à la tenue de ces fichiers.

Au demeurant, j’ai relevé comme une contradiction au début de votre propos. Vous avez déclaré que, selon vous, le coût de ces dispositions était difficile à évaluer. Mais, aussitôt après, vous vous êtes référée au montant de 170 millions d’euros, en relevant qu’il était relativement élevé.

Certes ! C’est précisément parce que ce coût est assez lourd que la commission des lois et, avec elle, les élus du groupe socialiste et républicain estiment qu’une aide en faveur des collectivités territoriales serait la bienvenue : cette compensation est nécessaire, pour qu’elles puissent assumer la nouvelle obligation qui leur est faite.

Vous connaissez l’état des finances locales. Vous avez fait état de l’ensemble des ressources dont disposent les collectivités. Une dépense nouvelle va leur être imposée et, à mes yeux, notre demande n’est pas inopportune.

Nous pouvons comprendre que cette compensation ne prenne pas la forme ici proposée, mais il aurait été de bon ton que vous nous présentiez d’autres solutions.

Applaudissements sur des travées du groupe Les Républicains.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. Marc Laménie, pour explication de vote.

Debut de section - PermalienPhoto de Marc Laménie

Je me permets d’intervenir à propos de cet amendement du Gouvernement, qui vise à supprimer l’article 19 bis.

Pour ma part, je souscris pleinement aux interventions précédentes et je suivrai l’avis émis, au nom de la commission des lois, par M. Philippe Bas comme par Mme la rapporteur.

Ces dépenses nouvelles sont estimées à 170 millions d’euros : il s’agit là des coûts de fonctionnement que la mise en œuvre du RGPD imposerait aux collectivités. À mon tour, j’observe qu’il serait bon d’appliquer le principe : « Qui décide paie. »

J’en suis conscient, l’État est le premier partenaire des collectivités territoriales en termes de masse financière, qu’il s’agisse de l’investissement ou du fonctionnement. Mais, compte tenu de ces nouvelles dispositions, la commission a, de manière tout à fait légitime, proposé d’instaurer une dotation spécifique au bénéfice des groupements territoriaux concernés, à savoir les communes et les intercommunalités.

Mes chers collègues, on peut rapprocher cette situation de celle que nous avons vécue l’été dernier : du 11 juillet au 4 août 2017, nous avons débattu de la réserve parlementaire, qui, malheureusement, a été supprimée.

Debut de section - PermalienPhoto de Marc Laménie

Je le regrette toujours, comme, j’en suis sûr, chacune et chacun d’entre vous.

Aujourd’hui, ce sont environ 170 millions d’euros qui sont en jeu. Avec la réserve parlementaire, il s’agissait peu ou prou des mêmes sommes, 130 à 150 millions d’euros. Et ce n’est pas parce que l’on a supprimé ce dispositif que, maintenant, tout va mieux.

Debut de section - PermalienPhoto de Marc Laménie

La réserve parlementaire était un vecteur de la solidarité de l’État envers les collectivités territoriales, en particulier les petites communes. Désormais, cette aide est soumise à l’appréciation des représentants de l’État. Ces derniers nous inspirent le plus profond respect – je le dis en toute sincérité. Mais nous n’en avons pas moins perdu ce moyen d’action et cette prérogative !

Voilà pourquoi j’abonde pleinement dans le sens de la commission des lois.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. Loïc Hervé, pour explication de vote.

Debut de section - PermalienPhoto de Loïc Hervé

M. Loïc Hervé. Mes chers collègues, nous sommes parvenus à une heure tardive, et ce n’est peut-être pas le moment de faire le jésuite…

Sourires.

Debut de section - PermalienPhoto de Loïc Hervé

On pourrait reprocher aux sénateurs d’être les avocats des collectivités territoriales et de vouloir toujours compenser les compétences qui leur sont transférées par de nouvelles ressources. D’ailleurs, c’est pour ainsi dire la fonction constitutionnelle du Sénat.

Cela étant, je vais me placer du point de vue de l’État et de son budget.

Debut de section - PermalienPhoto de Loïc Hervé

Combien le RGPD coûte-t-il concrètement ? Voilà plusieurs heures que nous travaillons sur ce sujet. Combien coûte la mise en œuvre de ce dispositif en France, et quels moyens nouveaux affecte-t-on à la Commission nationale de l’informatique et des libertés, la CNIL ?

Madame la garde des sceaux, j’ai cru entendre dans vos propos que la CNIL avait déjà été bien servie : ses effectifs, en particulier, ont été copieusement augmentés depuis dix ans environ.

Debut de section - PermalienPhoto de Loïc Hervé

Pour notre part, nous parlons du bloc communal. Une nouvelle fois, on avance que ces changements se traduiront par la disparition de diverses obligations, qu’il s’agisse de déclarations ou d’autorisations. Aussi l’exercice de cette compétence coûterait-il moins cher.

À l’inverse, j’estime que le RGPD va coûter cher aux collectivités locales.

Debut de section - PermalienPhoto de Loïc Hervé

Dans un certain nombre de cas, il va même leur coûter très cher, quand bien même elles n’auraient pas toutes exactement déployé les systèmes de protection des données qui leur sont imposés par la loi de 1978 : nous sommes en plein changement de paradigme. Le système juridique qui protège les données personnelles est en train d’être complètement refondu en France, et même à l’échelle de notre continent.

Je m’exprime, non en tant que défenseur des collectivités, mais au nom de la responsabilité de l’État, au nom de son budget. La RGPD coûte cher. Aussi, comme l’ensemble de mes collègues, j’estime que, au-delà de l’accompagnement assuré par les préfets, il est nécessaire de garantir un soutien financier, quand bien même il serait seulement symbolique.

Debut de section - PermalienPhoto de Sophie Joissains

Mme Sophie Joissains, rapporteur. Ah non, pas seulement symbolique !

Sourires.

Debut de section - PermalienPhoto de Loïc Hervé

J’ai bien dit « quand bien même », madame la rapporteur. Ce dispositif démontrerait l’implication de l’État.

À cet égard, madame la garde des sceaux, la fin de non-recevoir que vous nous avez opposée est on ne peut plus fâcheuse.

M. Jérôme Durain applaudit.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. Jean-Pierre Sueur, pour explication de vote.

Debut de section - PermalienPhoto de Jean-Pierre Sueur

M. Jean-Pierre Sueur. Madame la garde des sceaux, je tiens à vous féliciter : vous avez présenté votre amendement avec une sérénité et un calme tout à fait impressionnants !

Sourires.

Nouveaux sourires.

Debut de section - PermalienPhoto de Jean-Pierre Sueur

… même si, je le sais, vous êtes fort occupée, vous êtes bien consciente que vos arguments sont contestables.

Debut de section - Permalien
Nicole Belloubet

En tout cas, vous les contestez !

Debut de section - PermalienPhoto de Jean-Pierre Sueur

Si, monsieur Patriat, et vous le savez vous aussi. D’ailleurs, je vais montrer pourquoi.

Tout d’abord, vous n’êtes pas sans savoir que bien des collectivités locales sont victimes de ces nombreux cabinets auxquels on fait appel à tout bout de champ.

Debut de section - PermalienPhoto de Jean-Pierre Sueur

Ces cabinets d’études sont appelés à se prononcer sur moult sujets. Or le prix de leurs prestations est très souvent supérieur à 200 euros.

Debut de section - Permalien
Nicole Belloubet

Il s’agissait du concours de la CNIL !

Debut de section - PermalienPhoto de Jean-Pierre Sueur

M. Jean-Pierre Sueur. En l’occurrence, il faudra désigner un délégué à la protection des données au sein des différentes communes, ce qui, dans les villages, sera tout de même un peu difficile. Sans doute faudra-t-il assurer une mutualisation à l’échelle de l’intercommunalité.

Mme la garde des sceaux acquiesce.

Debut de section - PermalienPhoto de Jean-Pierre Sueur

Quoi qu’il en soit, ces dispositions vont entraîner des coûts supplémentaires, et personne ne peut le contester. Madame la garde des sceaux, nous nous connaissons bien, et vous pouvez l’admettre en toute franchise.

J’apprécie cette tournure que l’on trouve dans l’objet de votre amendement : « Ainsi, cette nouvelle dotation d’un montant financier élevé, estimé à 170 millions d’euros, n’apporte aucune garantie quant à une prise en charge effective des besoins des collectivités. » En définitive, vous dites que l’on ne sait pas si cette charge représentera 170 millions d’euros. Mais si cette dotation n’existe pas, on n’aura aucun moyen de la compenser !

Si le montant de 170 millions d’euros est trop élevé, il en restera une partie pour l’État ; mais il est également possible que cette dotation soit insuffisante. Comment peut-on dire qu’il est inutile de prévoir une telle somme pour compenser une dépense à laquelle les collectivités devront faire face de manière inéluctable ?

Puis, vous nous dites avoir décidé que les dotations de l’État seraient soumises à un plafond. C’est rigide ! Si l’on crée une nouvelle dépense, comme c’est le cas ici, le plafond sera toujours là. Dès lors, si l’on affecte cette somme, il faudra la déduire de la dotation globale de fonctionnement ou d’une autre dotation.

Ne pensez-vous pas, madame la garde des sceaux, que la République, dans le grand attachement qu’elle éprouve envers les collectivités locales, pourrait considérer de manière positive que, s’il y a une dépense nouvelle, alors il pourra aussi y avoir une nouvelle ressource ?

Aussi, 170 millions d’euros, ce n’est peut-être pas assez, mais vous ne pouvez pas dire en même temps que vous êtes contre cette dotation et qu’elle est insuffisante.

Debut de section - PermalienPhoto de Jean-Pierre Sueur

Monsieur le président, j’essaie de convaincre Mme la garde des sceaux, …

Debut de section - PermalienPhoto de Jean-Pierre Sueur

… et cela dans le temps qui m’est imparti. C’est difficile, mais j’espère tout de même avoir fait un bout du chemin !

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. Arnaud de Belenet, pour explication de vote.

Debut de section - PermalienPhoto de Arnaud de Belenet

J’essaierai d’être synthétique, mais il est difficile de ne pas intervenir sur ce sujet dans cet hémicycle.

Au-delà de l’aspect exclusivement financier du sujet, que personne ne sait d’ailleurs quantifier de façon certaine – dont acte ! –, et après les initiatives prises par la commission des lois et les modifications que le Sénat compte apporter au texte, j’ai entendu de la part du Gouvernement des réponses claires et positives.

Oui, il convient d’accompagner les collectivités. Oui, leur information est un vrai sujet. Oui, il faut permettre aux syndicats de communes et – pourquoi pas, même si c’est un peu plus compliqué juridiquement – aux associations de maires d’intervenir dans ce domaine. Oui, rendons possibles les mutualisations. Oui, accompagnons mieux les territoires qui n’ont pas encore appréhendé cette problématique, en particulier les petites communes, mais aussi, en vérité, 98 % des villes !

Ce message est passé, il a été entendu par le Gouvernement, et Mme la garde des sceaux l’a évoqué lors de la discussion générale. Les choses sont désormais claires, et j’imagine bien que, au fil de la navette, à l’Assemblée nationale ou en commission mixte paritaire, la problématique des collectivités sera prise en compte. En effet, il existe des moyens logistiques et humains pour ce faire, et des solutions techniques pourront être prises en charge par les syndicats.

Reste-t-il seulement un problème de compensation financière ? Pardonnez-moi, mes chers collègues, mais il ne s’agit pas ici d’un transfert de charges.

Je partage votre préoccupation quant au sort des collectivités, mais votre raisonnement est biaisé. Le maire que j’ai été pendant quinze ans se souvient très bien qu’il a perdu au fil du temps 90 % de ses dotations ; ce n’était pas sous le gouvernement actuel ! Mon premier adjoint, qui m’a relayé à la mairie, est heureux que, enfin, les dotations aient cessé de baisser.

Protestations sur les travées du groupe Les Républicains.

Debut de section - PermalienPhoto de Arnaud de Belenet

Passer de 1, 5 million à 186 000 euros de dotations sur six exercices, à partir de 2007, c’était douloureux. Il faudrait donc que chacun assume sa part de responsabilité dans la situation des finances des collectivités. Pardonnez-moi, mes chers collègues, mais votre réaction m’oblige à le faire.

Debut de section - PermalienPhoto de Arnaud de Belenet

Non, c’est une réalité. À mes yeux, il y a ici non pas un transfert de charges, mais une nouvelle réglementation, qui impose une obligation à l’ensemble des acteurs, y compris les collectivités.

S’il faut que celui qui décide paye, alors c’est à l’Europe de payer ! L’emploi des fonds européens est d’ailleurs un vrai sujet : dans tous les départements, nous sous-consommons les aides de l’Europe aux collectivités.

Debut de section - PermalienPhoto de Arnaud de Belenet

Voilà un vrai sujet de mobilisation. L’ensemble des préfectures ont d’ailleurs pour consigne aujourd’hui de remobiliser les collectivités pour aller chercher ces crédits, car c’est un réel moyen de financement.

Debut de section - PermalienPhoto de Arnaud de Belenet

Cela ne financera pas directement, mais disons honnêtement les choses : il n’y a pas de transfert de charges, il y a une obligation.

Est-il raisonnable et responsable que le Sénat ne défende sur ce point que les collectivités ? Il faudrait aussi abonder aux dépenses des entreprises et des autres acteurs concernés. Allons au bout de notre logique, soyons honnêtes !

M. François Patriat applaudit.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 146, présenté par Mme M. Carrère, est ainsi libellé :

I. – Alinéa 6

Rédiger ainsi cet alinéa :

« Cette dotation, composée d’une part fixe s’élevant à 5 000 euros, est complétée d’une part variable, déterminée en fonction de la population des communes s’élevant :

II. – Pour compenser la perte de recettes résultant du I, compléter cet article par un paragraphe ainsi rédigé :

… – La perte de recettes résultant pour l’État du présent article est compensée, à due concurrence, par la création d’une taxe additionnelle aux droits prévus aux articles 575 et 575 A du code général des impôts.

La parole est à Mme Maryse Carrère.

Debut de section - PermalienPhoto de Maryse Carrère

Je risque malheureusement d’être redondante, mais cet amendement vise surtout à insister sur le coût du RGPD et sur la responsabilisation qui s’imposera à chaque acteur. Celle-ci nécessitera un important investissement humain et technologique, qui reste mal évalué dans les collectivités.

Le manque de compétences informatiques au sein des collectivités territoriales, notamment des plus petites d’entre elles, rend cette transition d’autant plus difficile qu’elle les place dans une situation peu favorable pour évaluer le coût réel des services proposés pour le traitement de données personnelles. Dans certains cas, les relations avec les éditeurs de logiciels sont également la source de difficultés, qui rejoignent le problème plus général de détermination du prix d’un marché public.

Il en résulte que les services de traitement des données personnelles proposés aux collectivités territoriales sont onéreux, y compris quand, dans les petites communes rurales, ils ne concernent que quelques centaines de personnes ; j’en parle d’expérience sur mon territoire.

L’objet de cet amendement est donc de rappeler la réalité du coût de la mise en œuvre de cette mise en conformité.

Debut de section - PermalienPhoto de Sophie Joissains

Au vu du niveau de notre dialogue avec le Gouvernement concernant la nouvelle charge qui pèse sur les collectivités, ce serait un vrai cadeau, une pochette-surprise, que d’accorder 5 000 euros supplémentaires à chaque commune, ce qui est tout de même considérable !

La commission avait pensé demander le retrait de cet amendement. Néanmoins, comme il s’agit d’un amendement d’appel, elle s’en remet à la sagesse de la Haute Assemblée.

Debut de section - Permalien
Nicole Belloubet

Il est défavorable, monsieur le président.

L ’ amendement n ’ est pas adopté.

L ’ article 19 bis est adopté.

Le code général des collectivités territoriales est ainsi modifié :

1° La deuxième phrase du troisième alinéa de l’article L. 5111-1 est ainsi modifiée :

a) Les mots : « ou entre » sont remplacés par le mot : «, entre » ;

b) Sont ajoutés les mots : «, ou, à défaut, entre une commune et un syndicat mixte » ;

2° La première phrase du III de l’article L. 5111-1-1 est ainsi modifiée :

a) Au début, sont ajoutés les mots : « Les communes et leurs groupements, » ;

b) Les mots : « et les régions » sont remplacés par les mots : « les régions ».

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 118, présenté par le Gouvernement, est ainsi libellé :

Supprimer cet article.

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Par cet amendement, mesdames, messieurs les sénateurs, le Gouvernement vous demande de supprimer l’article 19 ter, introduit lors de l’examen du texte en commission.

Cet article modifie le régime des dispositifs de mutualisation, qui sont encadrés par les articles L. 5111-1 et L. 5111-1-1 du code général des collectivités territoriales, ou CGCT. Le Gouvernement est naturellement favorable au développement des formes de mutualisation entre les collectivités territoriales et leurs groupements.

Exclamations ironiques.

Debut de section - Permalien
Nicole Belloubet

Néanmoins, la rédaction de l’article 19 ter présente, selon nous, plusieurs inconvénients au regard de l’objectif louable de la commission.

À titre liminaire, il convient de relever que cet article modifie l’économie des dispositifs de mutualisation. On peut s’interroger sur le lien qu’il présente avec le texte en discussion, qui est relatif à la protection des données. Sur le fond, l’article 19 ter opère des modifications qui posent des difficultés au regard des objectifs d’intégration communautaire.

Premièrement, ce nouvel article modifie la deuxième phrase du troisième alinéa de l’article L. 5111-1 du CGCT, afin de permettre la conclusion de conventions de prestations de services entre, d’une part, des communes et des syndicats intercommunaux, et, d’autre part, une commune et un syndicat mixte.

L’article 19 ter concourt ainsi au maintien d’un syndicat inclus dans un EPCI à fiscalité propre, au lieu de privilégier des transferts de compétences du syndicat au bénéfice de l’EPCI à fiscalité propre dont sont membres les communes contractantes.

Dès lors, par cet article, la loi encouragerait de telles formules, alors que, au travers des schémas départementaux de coopération intercommunale, de la loi de réforme des collectivités territoriales de 2010 et de la loi Nouvelle organisation territoriale de la République de 2015, le législateur a souhaité à l’inverse renforcer l’intégration communautaire et la diminution du nombre de syndicats.

Deuxièmement, cet article modifie la première phrase du III de l’article L. 5111-1-1, en en étendant le bénéfice aux communes et à leurs groupements. Ces assouplissements envisagés sont de nature à aller à l’encontre de la logique de l’intégration communautaire, les transferts de compétences constituant le mode de relation privilégié entre les communes et les intercommunalités, de nature à sécuriser les actes et interventions.

Or le conventionnement en vue de réaliser des prestations de service est considéré comme une exception aux principes de spécialité et d’exclusivité. La modification du III de l’article L. 5111-1-1 du CGCT va donc à l’encontre des principes de rationalisation des intercommunalités, me semble-t-il, en permettant la création d’un syndicat mixte ouvert associant des communes et les EPCI dont ils sont membres.

Je souhaiterais enfin rappeler qu’il existe aujourd’hui de très nombreux dispositifs de mutualisation, qui sont d’ailleurs rappelés par une circulaire du 30 novembre 2015 de la direction générale des collectivités locales. Ainsi, le droit des mutualisations est un sujet vraiment complexe, qui mérite sans doute que l’on s’y attarde beaucoup plus longuement qu’au travers d’un amendement sur un projet de loi traitant de toute autre chose.

Je sais que mon collègue ministre d’État, ministre de l’intérieur souhaite faire avancer ce dossier dans le cadre de la prochaine réunion de la conférence nationale des territoires, qui est prévue dans les mois prochains. Il me semble préférable de traiter ce sujet dans ce cadre général plutôt qu’à l’occasion de l’examen de ce projet de loi. En effet, le risque serait d’aboutir à un texte incomplet, voire inapplicable.

C’est pour l’ensemble de ces raisons que le Gouvernement vous propose, mesdames, messieurs les sénateurs, de supprimer l’article 19 ter.

Debut de section - PermalienPhoto de Sophie Joissains

L’article 19 ter est né de l’audition que nous avons menée avec l’Assemblée des départements de France, les centres de gestion et deux représentants de syndicats de communes.

Notre ambition n’est pas forcément de tout prévoir en lieu et place des communes. Nous entendons simplement leur offrir un panel de solutions ; certaines communes ont d’ailleurs commencé à les utiliser, même si elles sont très peu nombreuses à le faire en France. Certaines communes sont proches de syndicats mixtes déjà existants, d’autres de communautés d’agglomération, d’autres encore de communautés de communes, d’autres du département ou du centre de gestion…

De fait, cet article va dans le sens de la libre administration des collectivités territoriales : celles-ci doivent pouvoir choisir la manière dont elles souhaitent se mutualiser. La France n’est pas encore l’Union soviétique, Dieu merci !

La commission a donc émis un avis défavorable sur cet amendement de suppression.

L ’ amendement n ’ est pas adopté.

L ’ article 19 ter est adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 81, présenté par M. L. Hervé, est ainsi libellé :

Après l’article 19 ter

Insérer un article additionnel ainsi rédigé :

Au deuxième alinéa de l’article L. 1425-2 du code général des collectivités territoriales est ainsi modifié :

1° À la première phrase, le mot : « peuvent » est remplacé par le mot : « doivent » ;

2° La dernière phrase est supprimée.

La parole est à M. Loïc Hervé.

Debut de section - PermalienPhoto de Loïc Hervé

Cet amendement vise à envoyer un signal aux collectivités locales, pour qu’elles s’emparent de la question du numérique sur les territoires.

Nous avons évoqué ce sujet à de nombreuses reprises, mais nos collègues élus locaux ont pu quelque peu négliger cette question, et cela depuis de très nombreuses années. La question des réseaux, certes, est tellement liée à la vie quotidienne que la mobilisation est sur ce point plus importante. En revanche, elle l’est moins sur la question des usages.

Dès lors, compte tenu de l’importance croissante du numérique dans notre société, de son impact et des enjeux qui s’y rapportent – dématérialisation des services, inclusion numérique, ouverture, sécurisation et protection des données –, il est assez surprenant que les collectivités locales ne soient pas tenues d’élaborer une stratégie de développement des usages et des services numériques sur leur territoire à l’échelon le plus adapté.

Dans la loi Montagne, cette stratégie avait été mise en œuvre, mais pour les seules zones de montagne. Nous vous proposons à présent de la déployer sur le territoire national tout entier. Encore une fois, ce n’est pas une obligation nouvelle ; c’est une incitation forte du législateur à ce que les élus locaux s’emparent eux-mêmes de cette question de la stratégie du numérique dans les territoires.

De mon point de vue, nous ne serions pas le Sénat si nous n’adressions pas ce message à nos collègues élus. On sent bien que c’est important, eu égard à la question des données personnelles dans le débat qui nous intéresse aujourd’hui. Ce n’est pas une contrainte nouvelle, c’est une incitation forte du législateur.

La stratégie elle-même n’est pas définie – il ne s’agit pas d’un schéma de cohérence territoriale ; il s’agit bien plutôt d’une invitation assez directive à nos collègues, pour qu’ils déploient une telle stratégie sur leur territoire.

Debut de section - PermalienPhoto de Sophie Joissains

Cet amendement vise à rendre obligatoire l’établissement par les collectivités d’une stratégie de développement des usages et services numériques.

L’intention est louable, et ce sera un jour nécessaire, bien entendu, mais, aujourd’hui, les collectivités ont d’abord besoin de s’adapter, de passer la première étape avant d’aborder la seconde. La commission ne souhaite donc pas multiplier les documents de planification obligatoires à leur charge, du moins aujourd’hui.

C’est pourquoi, mon cher collègue, je vous demande de bien vouloir retirer votre amendement.

Debut de section - Permalien
Nicole Belloubet

Je partage l’avis de Mme la rapporteur. Je considère en outre que le lien de cet amendement avec le texte qui nous occupe, et qui a pour objet les données personnelles, est quelque peu ténu. Vous cherchez, monsieur le sénateur, à inciter les communes à développer une telle stratégie, mais vous instaurez plus qu’une incitation : il s’agit bien d’une obligation !

C’est pourquoi le Gouvernement demande le retrait de cet amendement, faute de quoi il émettrait un avis défavorable.

Debut de section - PermalienPhoto de Loïc Hervé

Je vais maintenir cet amendement, quel que soit son destin, parce que je suis persuadé que cette question doit être traitée au niveau le plus bas de la subsidiarité, c’est-à-dire à l’échelle des collectivités territoriales.

À l’occasion d’un tel texte, après le débat financier que nous avons eu, nous devons être capables de fixer le cap, en tant que législateur, et d’inviter les élus locaux à prendre en main ces sujets, qu’il s’agisse des réseaux ou des usages. Le Sénat a fusionné l’ensemble des groupes d’études qui touchaient au numérique pour créer un nouveau groupe, sous la tutelle du président du Sénat et de l’ensemble des présidents de commission. Nous nous inscrivons précisément dans cette démarche.

Dès lors, si nous voulons favoriser les synergies et les rencontres entre les communes, entre les intercommunalités, à l’échelon le plus bas de l’administration territoriale du pays, rejeter cet amendement serait une erreur. C’est pourquoi je vais le maintenir, au moins pour le principe : j’estime qu’il s’agit d’un sujet d’importance.

Nous n’avons eu de cesse de regretter que, depuis quarante ans, les obligations faites aux collectivités locales, y compris dans le domaine du traitement des données, n’aient pas été suffisamment prises en compte. Cela crée, madame la garde des sceaux, un lien avec le texte en discussion qui est beaucoup moins ténu qu’on ne peut le penser.

Je maintiens donc cet amendement, monsieur le président.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 28 rectifié ter, présenté par M. Chaize, Mme Eustache-Brinio, M. Sol, Mme Giudicelli, M. Hugonet, Mmes Lavarde et Garriaud-Maylam, M. Lefèvre, Mme Estrosi Sassone, MM. Savary, Bazin et Vaspart, Mme Lassarade, MM. D. Laurent, Kennel et Mouiller, Mmes Boulay-Espéronnier, Deromedi, Lamure et Deseyne, MM. Paccaud, Poniatowski, Buffet, de Nicolaÿ, Bonhomme, Milon, Bascher et Vogel, Mmes Deroche et Imbert, M. Bouchet, Mme de Cidrac et MM. Bonne, Revet, Laménie et Gremillet, est ainsi libellé :

Après l’article 19 ter

Insérer un article additionnel ainsi rédigé :

1° Le second alinéa de l’article L. 233-1 du code de la sécurité intérieure est complété par les mots : « ou par le responsable ou les responsables conjoints de traitements de données à caractère personnel à finalité statistique pour l’exercice de leurs missions de régulation du trafic routier ou d’organisation de la mobilité » ;

2° L’article L. 330-1 du code de la route est complété par un alinéa ainsi rédigé :

« Lorsque les traitements automatisés de données à caractère personnel ont une finalité statistique, ils restent soumis aux dispositions de l’article 36 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

La parole est à M. René-Paul Savary.

Debut de section - PermalienPhoto de René-Paul Savary

Cet amendement a pour objet la lecture automatisée des plaques d’immatriculation. Nous proposons d’insérer dans le projet de loi un article additionnel aux termes duquel les traitements automatisés de données à caractère personnel, lorsqu’ils ont une finalité statistique, restent soumis aux dispositions de l’article 36 de la loi relative à l’informatique, aux fichiers et aux libertés.

Debut de section - PermalienPhoto de Sophie Joissains

Cet amendement tend à autoriser l’utilisation de la technologie de lecture automatisée des plaques d’immatriculation pour produire des informations statistiques à des fins de régulation du trafic routier ou d’organisation de la mobilité.

Pour l’heure, cette technologie est réservée aux forces de police et de gendarmerie, à des fins de prévention ou de répression d’infractions pénales particulièrement graves, comme le terrorisme, la criminalité organisée, la contrebande en bande organisée, le vol et le recel de véhicules, ou encore d’infractions douanières. La loi de modernisation de la justice du XXIe siècle a prévu d’étendre son utilisation à la constatation des infractions au code de la route, mais on attend toujours le décret d’application.

Il ne paraît pas opportun d’étendre aujourd’hui l’utilisation d’une technique aussi intrusive à des fins de gestion de la mobilité, d’autant que l’amendement ne tend pas même à réserver expressément son utilisation à des personnes publiques.

En conséquence, je vous demande, mon cher collègue, de bien vouloir retirer cet amendement.

Debut de section - Permalien
Nicole Belloubet

C’est le même avis : le Gouvernement sollicite le retrait de cet amendement.

Debut de section - PermalienPhoto de René-Paul Savary

La question mérite d’être posée. En effet, aujourd’hui, les sociétés privées de contrôle du stationnement payant, par exemple, disposent également d’un système leur permettant de relever au passage, depuis une voiture dotée de caméras, les numéros d’immatriculation des véhicules en stationnement. Il faut donc que des dispositions clarifient la protection de ces données.

Je prends note de la demande de retrait de cet amendement, mais, à terme il faudra trouver des solutions dans ce domaine.

Cela dit, je retire l’amendement, monsieur le président.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 28 rectifié ter est retiré.

TITRE IV

HABILITATION À AMÉLIORER L’INTELLIGIBILITÉ DE LA LÉGISLATION APPLICABLE À LA PROTECTION DES DONNÉES

(Division et intitulé supprimés)

(Supprimé)

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 111, présenté par le Gouvernement, est ainsi libellé :

Rétablir cet article dans la rédaction suivante :

I. – Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires :

1° À la réécriture de l’ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et transposent la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, telles que résultant de la présente loi ;

2° Pour mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet ;

3° À l’adaptation et à l’extension à l’outre-mer des dispositions prévues aux 1° et 2° ainsi qu’à l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la même loi du 6 janvier 1978 relevant de la compétence de l’État.

II. – Cette ordonnance est prise, après avis de la Commission nationale de l’informatique et des libertés, dans un délai de six mois à compter de la promulgation de la présente loi.

III. – Un projet de loi de ratification est déposé devant le Parlement dans un délai de six mois à compter de la publication de l’ordonnance.

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

La commission des lois a supprimé l’article d’habilitation proposé par le Gouvernement et adopté par l’Assemblée nationale. Le présent amendement a pour objet de rétablir cet article.

Dans le respect absolu des prérogatives du Parlement, le Gouvernement a décidé de déposer un projet de loi permettant de mettre en œuvre le règlement européen et de transposer la directive, sans solliciter d’ordonnance pour ce faire. Les assemblées sont donc saisies des dispositions législatives nécessaires pour assurer la conformité de notre droit national à cette nouvelle réglementation européenne ; aucun des choix politiques ou juridiques pour ce faire n’est ainsi soustrait à l’appréciation du Parlement.

Le Gouvernement souhaite naturellement que soit respectée l’échéance du 25 mai 2018, date à laquelle le règlement européen sera applicable. C’est pourquoi il a fait le choix d’un texte très resserré, et non d’une réécriture de l’ensemble de la loi de 1978, qui eût été beaucoup plus complexe, pour ne procéder qu’aux seuls ajustements rendus nécessaires par la mise en conformité.

Le présent projet de loi procède par ailleurs d’une problématique légistique nouvelle et complexe : il s’agit de tirer les conséquences tant d’un règlement d’application directe que d’une directive, dont les dispositions doivent être transposées dans la loi, alors même que ces deux instruments européens portent sur des questions souvent similaires et, dans tous les cas, étroitement liées.

C’est la raison pour laquelle le Gouvernement sollicite du Parlement une habilitation pour codifier les modifications apportées à notre droit par ce projet de loi dans la loi fondatrice de 1978.

Ainsi, nous offrirons un cadre juridique lisible, sécurisé et stable à chaque citoyen et acteur économique de notre pays. Je le répète, il ne s’agira aucunement de revenir sur les choix politiques que le Parlement sera amené à faire lors du vote du texte. Non seulement le Gouvernement s’y engage, mais cet engagement résulte des termes mêmes de l’habilitation qui vous est soumise. Le Conseil d’État, dans son avis sur le projet de loi, a validé cette démarche, tout en réduisant le délai d’habilitation à six mois. Vous proposez quant à vous, madame la rapporteur, de ramener ce délai à quatre mois.

L’habilitation sollicitée permettra d’adopter, pour la loi de 1978, un plan clair : un titre Ier rappellera les principes fondamentaux et les pouvoirs étendus de la CNIL, un titre II sera consacré au champ du règlement, un titre III à celui de la directive, et un titre IV aux dispositifs hors du champ de l’Union.

L’ordonnance permettra également de mettre en cohérence l’ensemble de la législation applicable à la protection des données à caractère personnel, afin d’apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi et abroger les dispositions devenues sans objet.

La démarche adoptée par le Gouvernement consiste donc à soumettre au Parlement les questions posées par la transcription dans notre droit des nouvelles règles européennes sans avoir à employer son temps, que l’on sait précieux, à opérer une codification qui ne pourra qu’intervenir à droit constant, compte tenu des termes mêmes de l’habilitation et de la nécessité d’offrir aux citoyens un cadre juridique clair et lisible.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

Le sous-amendement n° 156, présenté par Mme Joissains, au nom de la commission, est ainsi libellé :

Amendement n° 111

I. – Alinéa 2

Après le mot :

Constitution

insérer les mots :

et dans le respect des dispositions prévues aux titres Ier à III bis de la présente loi

II. – Alinéa 6

Remplacer le mot :

six

par le mot :

quatre

La parole est à Mme le rapporteur.

Debut de section - PermalienPhoto de Sophie Joissains

Il me semble possible – j’espère que vous partagerez mon opinion, mes chers collègues –, au vu des explications apportées par le Gouvernement, d’accepter le rétablissement de l’habilitation sollicité par le Gouvernement, mais à condition que soit adopté le présent sous-amendement.

Comme je l’ai déjà dit hier en introduction à nos débats, le caractère inintelligible des nouvelles normes relatives à la protection des données est un enjeu démocratique d’accessibilité du droit pour les citoyens et de sécurité juridique pour les acteurs économiques.

À ce titre, le Gouvernement vient de s’engager devant le Sénat à offrir un cadre juridique lisible consistant en une simple codification, sans rien changer aux décisions du Parlement. Je pense évidemment à nos collectivités territoriales et à nos TPE et PME. Il s’est également engagé à informer régulièrement le Parlement de l’avancement du projet d’ordonnance.

Le présent sous-amendement vise à prendre acte de ces engagements donnés au Sénat et à encadrer à double titre l’habilitation sollicitée. Sur le fond, il a pour objet de préciser expressément que l’ordonnance ne pourra modifier les équilibres auxquels sera parvenu le Parlement.

Dans le temps, il tend à réduire à quatre mois le délai offert au Gouvernement pour prendre cette ordonnance, le ministère nous ayant rassurés lors des auditions sur le fait qu’elle était presque prête ; en même temps, il faut qu’elle soit complète et véritablement lisible. Un délai plus court devrait tout de même permettre de limiter au minimum la période transitoire séparant l’entrée en vigueur du RGPD, le 25 mai 2018, et celle de l’ordonnance de clarification.

Debut de section - Permalien
Nicole Belloubet

Je vous remercie, madame la rapporteur, d’avoir entendu les arguments du Gouvernement et de me faire des contre-propositions.

Sur le premier point, je ne m’attarderai pas, puisque j’accepte tout à fait la modification que vous proposez.

Vous me permettrez d’être un peu plus réservée sur le second point de votre sous-amendement, c’est-à-dire quant à la durée dans laquelle vous souhaitez que soit inscrite la démarche de rédaction de l’ordonnance. En effet, vous entendez ramener de six mois à quatre mois le laps de temps que vous laissez au Gouvernement.

Avant tout, je tiens à rappeler que le délai que nous avions envisagé initialement, dix-huit mois, a déjà été ramené à six mois par le Conseil d’État.

J’entends bien évidemment la nécessité dont vous faites état de procéder le plus rapidement possible à la clarification, donc à la réécriture du texte. Je précise toutefois que cet exercice doit bien entendu se faire de manière sereine, et non pas dans la précipitation. Vous n’ignorez évidemment pas que nous devons aussi procéder à un certain nombre d’auditions, notamment celle de représentants de la CNIL.

Il convient donc, tout d’abord, que le texte soit définitivement voté pour que nous puissions disposer d’une vision d’ensemble pour procéder à la remise en forme cohérente de la loi de 1978, sans remettre en cause – je le répète et, dorénavant, ce sera écrit grâce à vos propositions – les choix fondamentaux réalisés dans le projet de loi, de façon à garantir une meilleure accessibilité de l’ensemble du droit.

Il nous faut également procéder à diverses consultations, en particulier avec les collectivités de la Nouvelle-Calédonie et de la Polynésie française, afin d’étendre les dispositions de la loi à ces collectivités et de les adapter à leur situation.

Pour ces raisons, je suis plus réservée sur la seconde partie de votre sous-amendement, et il me faut donc émettre à son encontre un avis défavorable. Soyez assurée, madame la rapporteur, que, en tout état de cause, entre l’adoption de la loi et la sortie de l’ordonnance tous les outils pédagogiques et de communication seront mis en place, en collaboration avec la CNIL, au service des citoyens, des entreprises et des collectivités locales.

Le Gouvernement émet donc un avis défavorable sur ce sous-amendement.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. le président de la commission des lois.

Debut de section - PermalienPhoto de Philippe Bas

Madame la garde des sceaux, vous mesurez certainement l’ampleur de l’effort que la commission se propose de faire.

Nous avions rejeté, en commission, le principe même de cette ordonnance. Le texte de la commission des lois n’en porte plus la trace.

Vous avez présenté un amendement, à la suite d’échanges que les collaborateurs du ministère de la justice ont eus avec Mme la rapporteur : ils se sont montrés aussi convaincants que possible et ont fait valoir que l’objet de cette ordonnance s’apparente à un exercice de codification, même s’il ne s’agit pas d’un code : il s’agit d’intégrer à la loi de 1978 Informatique et les libertés des dispositions éparses, en veillant à leur cohérence, et cela sans ajouter à ce qui sera le droit positif après la promulgation de la loi.

Nous comprenons bien l’intérêt de cette démarche et la nécessité d’une plus grande lisibilité pour ceux qui ont à appliquer la loi. Quand nous avons défendu les collectivités territoriales qui se voient assigner de nouvelles responsabilités, nous avons naturellement pris en compte la nécessité pour elles de disposer de textes lisibles. C’est pourquoi nous sommes prêts à faire mouvement – mais pas à n’importe quelles conditions !

Or, madame la garde des sceaux, lorsque nous avons appris, de la bouche même de vos collaborateurs du ministère de la justice, que cette ordonnance était pratiquement prête, nous avons véritablement jugé nécessaire de prévoir un délai court, en contrepartie du sacrifice que nous acceptons de ne pas légiférer nous-mêmes de la manière la plus complète.

C’est la raison pour laquelle nous ne proposerons pas au Sénat l’adoption de l’amendement du Gouvernement si le sous-amendement de la commission des lois n’est pas préalablement adopté, et cela sans modification.

Debut de section - Permalien
Nicole Belloubet

Monsieur le président de la commission, j’ai remercié la commission et Mme la rapporteur de leur proposition ; je mesure pleinement le travail que vous avez accompli en ce sens.

Je répète encore une fois que, même si les services de la Chancellerie ont entamé la rédaction de la future ordonnance, ce travail ne pourra véritablement commencer qu’à partir du moment où ce projet de loi sera adopté. Or nous ne connaissons pas encore précisément les choix du Parlement ; nous faisons, nous aussi, mouvement vers le Parlement. C’est ainsi que se construisent les bonnes et belles lois.

C’est la raison pour laquelle je crains que, une fois ce texte adopté, quand nous devrons engager des consultations, notamment avec la Nouvelle-Calédonie et la Polynésie, et travailler avec la CNIL, qui est très attachée à la rédaction de la loi de 1978, nous n’ayons à faire face aux difficultés que j’ai mentionnées.

Il n’en reste pas moins que j’ai conscience du travail que la Haute Assemblée a accompli.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. Jean-Pierre Sueur, pour explication de vote.

Debut de section - PermalienPhoto de Jean-Pierre Sueur

Madame la garde des sceaux, il y a le texte et il y a le contexte.

Certains, que je connais bien, sont tellement furieux de la façon dont on utilise aujourd’hui l’argument de l’ordonnance…

Debut de section - Permalien
Nicole Belloubet

Ce n’est pas un argument !

Debut de section - PermalienPhoto de Jean-Pierre Sueur

M. Jean-Pierre Sueur. … qu’ils seraient prêts à vous proposer, dans le cadre de la réforme de la Constitution, qu’il n’y en ait plus. Jadis existaient les décrets-lois ; aujourd’hui, ce sont des ordonnances.

M. Loïc Hervé s ’ exclame.

Debut de section - PermalienPhoto de Jean-Pierre Sueur

Pour ma part, je ne suis pas aussi radical : je pense que les ordonnances peuvent être utiles, par exemple pour la codification à droit constant ou, dans un certain nombre de cas, pour la transposition de directives européennes.

Soyons réalistes, mais n’ignorons pas que nous entrons dans la journée du 22 mars 2018…

Debut de section - PermalienPhoto de Jean-Pierre Sueur

… et que certains de vos collègues – mais pas vous-même, madame la garde des sceaux – ont en quelque sorte brandi l’ordonnance comme une menace : « il y aura des ordonnances, mais, si cela se passe bien, il y en aura peut-être moins »…

Je vous l’assure : c’est nul, cela ne sert à rien et provoque plutôt l’effet contraire de celui qui est visé. Ce procédé est tout à fait inefficace et, je le dis franchement, n’est pas respectueux.

En outre, madame la garde des sceaux, depuis la réforme de 2008, une loi de ratification doit succéder à une loi d’habilitation. Jusqu’à présent, tous les amendements sont possibles, et nous espérons que cela va durer, avec votre aide et votre concours.

Debut de section - PermalienPhoto de Jean-Pierre Sueur

En effet, vous tenez aux droits du Parlement et savez que les amendements sont comme l’air que nous respirons. Nous ne pouvons que tenir au droit d’amendement.

Le temps que vous croyez gagner en limitant le nombre d’amendements, vous le perdrez, parce qu’il faudrait examiner deux projets de loi…

C’est pourquoi, dans ce contexte du 22 mars, car il se passe tout de même quelque chose ce jour-là dans le pays, madame la garde des sceaux

Sourires

Debut de section - PermalienPhoto de Jean-Pierre Sueur

J’arrive justement à la conclusion de mon propos, monsieur le président, et je vous remercie de me rappeler à l’ordre.

Madame la garde des sceaux, si nous acceptons le sous-amendement de Mme Joissains, pour pouvoir voter ce que vous proposez, c’est que nous avons un grand sens des responsabilités…

Debut de section - PermalienPhoto de Jean-Pierre Sueur

M. Jean-Pierre Sueur. … et que nous pensons qu’il ne faut pas y voir un consentement à des ordonnances menaces que nous récusons de toutes nos forces.

Mme le rapporteur et M. Jérôme Bascher applaudissent.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

Madame la garde des sceaux, mes chers collègues, il est minuit. Je vous propose de poursuivre nos travaux, afin d’achever l’examen de ce texte.

Il n’y a pas d’opposition ?…

Il en est ainsi décidé.

La parole est à M. Loïc Hervé, pour explication de vote.

Debut de section - PermalienPhoto de Loïc Hervé

En décidant ou en proposant de recourir aux ordonnances, le Gouvernement prend la responsabilité de l’intelligibilité de la loi. Je le dis en tant que membre de la CNIL, mais aussi et surtout eu égard aux utilisateurs, aux usagers et aux gestionnaires de données.

Je peux paraître quelque peu moraliste ou donneur de leçons, mais il est très important que, dans un travail de codification – visiblement, celui-ci est largement entamé –, un soin tout particulier soit porté, afin que cette loi soit…

Debut de section - PermalienPhoto de Loïc Hervé

… comprise et, en effet, rédigée de façon intelligible.

Je l’ai souligné lors de la discussion générale ; c’était même la première phrase de mon propos : ce projet de loi n’est pas un texte technique, c’est un texte politique. Pour autant, il ne faudrait pas que les dispositions prises par ordonnances soient uniquement techniques. Faisons en sorte que ce texte soit bien compris par ceux qui vont l’utiliser.

J’espère avoir bien résumé ma pensée. À partir du moment où le Parlement, notamment le Sénat, accepte de se déposséder de sa plume législative, madame la garde des sceaux, il faut que vos services prennent en compte cette notion. C’est important pour la Commission nationale de l’informatique et des libertés, mais aussi pour nos compatriotes.

Le sous-amendement est adopté.

L ’ amendement est adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

En conséquence, l’article 20 est rétabli dans cette rédaction.

(Supprimé)

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 112, présenté par le Gouvernement, est ainsi libellé :

Rétablir cet article dans la rédaction suivante :

I. – Le livre II du code de la consommation, dans sa rédaction résultant de l’article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, est ainsi modifié :

1° La sous-section 4 de la section 3 du chapitre IV du titre II est abrogée ;

2° Au premier alinéa de l’article L. 242-20, la référence : « L. 224-42-3 » est supprimée.

II. – Le II de l’article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique est abrogé.

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

La commission des lois a réintroduit l’article 48 de la loi du 7 octobre 2016 pour une République numérique, qui avait été abrogé par l’Assemblée nationale.

Debut de section - Permalien
Nicole Belloubet

Mme Nicole Belloubet, garde des sceaux. Oui, mais, dans ce texte, elle est numérique !

Sourires.

Debut de section - Permalien
Nicole Belloubet

Cet article prévoit un droit à la portabilité des données non personnelles pour le consommateur. Il s’agit de permettre à ce dernier de récupérer les fichiers qu’il a mis en ligne, par exemple celles qui résultent de l’utilisation de son adresse électronique. Or il s’agit en réalité de données à caractère personnel, qui sont donc régies par le droit à la portabilité, tel qu’il est consacré à l’article 20 du RGPD.

Cette lecture a d’ailleurs été confirmée par les lignes directrices relatives au droit à la portabilité des données qui ont été adoptées par le groupe de travail « G 29 » sur la protection des données, lesquelles adoptent une interprétation très large de la notion de portabilité des données personnelles.

Les dispositions issues de l’article 48 de la loi du 7 octobre 2016 pour une République numérique doivent donc être supprimées pour des raisons de cohérence et de sécurité juridique. Les opérateurs économiques partagent l’analyse selon laquelle toutes les données visées relèvent en réalité d’un seul et même régime juridique, celui de la portabilité des données personnelles.

Ce régime est d’ailleurs plus aisé à mettre en œuvre que celui des données non personnelles, puisqu’il permet une portabilité directement de terminal à terminal et une transmission des données directement d’un responsable de traitement à un autre, lorsque cela est techniquement possible.

Pour toutes ces raisons, le Gouvernement estime préférable d’abroger l’article 48 de la loi du 7 octobre 2016.

Debut de section - PermalienPhoto de Sophie Joissains

Cet amendement vise à supprimer le droit à la récupération et à la portabilité des données non personnelles introduit dans le code de la consommation par la loi pour une République numérique.

Certes, la portabilité des données personnelles est désormais bien assurée dans le cadre du RGPD. C’est l’un des nouveaux droits introduits par le règlement, et il faut s’en réjouir. Reste que ce droit ne concerne que la portabilité des données personnelles.

Le droit à la récupération et à la portabilité des données non personnelles est différent ; il est uniquement prévu par le code de la consommation. Il s’agit, concrètement, de faciliter le passage des consommateurs d’un opérateur de services électroniques à un autre, à savoir l’exportation de mails, de fichiers, de playlists. Il s’agit d’un réel enjeu non seulement pour les consommateurs, mais aussi pour la concurrence.

Il convient absolument de conserver ce droit à la récupération et à la portabilité des données non personnelles, qui n’est en rien satisfait par le RGPD.

Pour achever de vous convaincre, madame la garde des sceaux, permettez-moi de vous citer l’avis de deux autorités en la matière.

Tout d’abord, l’Autorité de régulation des communications électroniques et des postes, l’ARCEP, dont Mounir Mahjoubi a souligné la qualité du rapport sur la neutralité des terminaux, se réjouit en ces termes des avancées de la loi pour une République numérique : « Les consommateurs bénéficient désormais d’un droit de récupérer leurs données, puisque les fournisseurs de services de communication au public en ligne ont une obligation de mettre en place une fonctionnalité permettant au consommateur de récupérer “l’ensemble de ses données”, un périmètre qui inclut des données personnelles, pour lesquelles la CNIL est compétente, et des données non personnelles, pour lesquelles la DGCCRF est compétente. »

Ensuite, la direction des affaires civiles et du sceau – autorité peut-être encore plus convaincante ! –, répondant au mois de février 2017 aux députés rapporteurs de la mission d’information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française, a elle-même confirmé que les deux régimes de portabilité étaient bien distincts et « cohérents ».

À la page 87 de cet excellent rapport parlementaire, il est précisé : « Les données n’ayant pas un caractère personnel visées par [le droit à la portabilité de la loi pour une République numérique] sont les données anonymes au sens du règlement […] Ces données étant situées hors du champ d’application du règlement, les deux régimes de portabilité sont […] compatibles. …ces deux régimes semblent cohérents. »

Pour toutes ces raisons, la commission émet un avis défavorable sur cet amendement.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

En conséquence, l’article 20 bis demeure supprimé.

TITRE V

DISPOSITIONS DIVERSES ET FINALES

I. – La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée :

1° A Au second alinéa du II de l’article 13, après la référence : « 3° », est insérée la référence : « du I » ;

1° L’article 15 est ainsi modifié :

a) Le quatrième alinéa est supprimé ;

b) Aux cinquième et sixième alinéas, après la référence : « 2° », est insérée la référence : « du I » ;

c) Au septième alinéa, après la référence : « 4° », est insérée la référence : « du I » ;

d)

2° Les avant-dernier et dernier alinéas de l’article 16 sont supprimés ;

bis Au second alinéa de l’article 17, après la référence : « 2° », est insérée la référence : « du I » ;

ter Au second alinéa de l’article 21, après la référence : « 2° », est insérée la référence : « du I » ;

3° Au premier alinéa de l’article 29, la référence : « 25, » est supprimée ;

4° Le I de l’article 30 est ainsi modifié :

a) Au premier alinéa, le mot : « déclarations, » est supprimé ;

b) Aux 2° et 6°, la référence : « 25, » est supprimée ;

5° Le I de l’article 31 est ainsi modifié :

a) Au premier alinéa, la référence : « 23 à » est remplacée par la référence : « 26 et » ;

b) À la fin du 1°, les mots : « ou la date de la déclaration de ce traitement » sont supprimés ;

6° À la seconde phrase du second alinéa du II de l’article 39, les mots : « ou dans la déclaration » sont supprimés ;

bis À l’article 42, la référence : « 25, » est supprimée ;

7° L’article 67 est ainsi modifié :

a) Au premier alinéa, les références : « 22, les 1° et 3° du I de l’article 25, les articles » sont supprimées ;

b) Le quatrième alinéa est supprimé ;

c) La seconde phrase de l’avant-dernier alinéa est supprimée ;

8° L’article 70 est abrogé ;

a et b)

Supprimés

9° La seconde phrase de l’article 71 est supprimée.

II. – §(Supprimé) – (Adopté.)

(Non modifié)

Pour les traitements ayant fait l’objet de formalités antérieurement au 25 mai 2018, la liste mentionnée à l’article 31 de la loi n° 78-17 du 6 janvier 1978 précitée, arrêtée à cette date, est mise à la disposition du public, dans un format ouvert et aisément réutilisable pour une durée de dix ans.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 113, présenté par le Gouvernement, est ainsi libellé :

Compléter cet article par un paragraphe ainsi rédigé :

… – Par dérogation au I de l’article 22 de la loi n° 78-17 du 6 janvier 1978 précitée, la mise en œuvre des traitements comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques qui ont été autorisés avant le 25 mai 2018 en application des articles 25 et 27 de la même loi, dans leur rédaction antérieure à la présente loi, ne sont pas soumis à l’obligation d’être mentionnés dans le décret prévu au premier alinéa de l’article 22 précité, sauf modification de ces traitements et au plus tard jusqu’au 25 mai 2020. Ces traitements restent soumis à l’ensemble des autres obligations découlant de ladite loi et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

L’article 87 du RGPD prévoit que les États membres peuvent préciser les conditions spécifiques du traitement d’un numéro d’identification national.

Dans le cadre du projet de loi qui vous est soumis, mesdames, messieurs les sénateurs, le Gouvernement a souhaité maintenir une formalité préalable particulière pour les traitements qui nécessitent l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques, le NIR.

Ce type de traitement est ainsi autorisé par un décret pris après un avis motivé et publié de la CNIL, qui définit les catégories de responsables de traitement et les finalités pour lesquelles ces traitements peuvent être mis en œuvre. Ce décret-cadre a vocation à recenser l’ensemble des traitements existants utilisant le NIR.

Dans un objectif de sécurité juridique pour les administrations de l’État, les collectivités territoriales et les acteurs privés, il est prévu au travers de cet amendement que les traitements qui n’auraient pas été mentionnés dans l’une des catégories de responsables de traitement et pour une des finalités définies dans le décret-cade ne deviendront pas illégaux le 25 mai 2018 de ce seul fait.

J’insiste sur l’expression « de ce seul fait ». En effet, ces traitements restent soumis en tout état de cause à l’ensemble des autres obligations qui découlent de la loi et du règlement de 2016. Ainsi, les traitements qui ont été autorisés par acte réglementaire ou par la CNIL avant le 25 mai 2018 ne sont pas soumis jusqu’à leur modification, et au plus tard jusqu’au 25 mai 2020, à l’obligation d’être mentionnés dans le décret-cadre.

L ’ amendement est adopté.

L ’ article 22 est adopté.

I. – L’article 230-8 du code de procédure pénale est ainsi modifié :

1° Le premier alinéa est ainsi rédigé :

« Le traitement des données à caractère personnel est opéré sous le contrôle du procureur de la République territorialement compétent, qui, d’office ou à la demande de la personne concernée, ordonne qu’elles soient effacées, complétées ou rectifiées, notamment en cas de requalification judiciaire, ou qu’elles fassent l’objet d’une mention. La rectification pour requalification judiciaire est de droit. L’effacement est de droit lorsque la demande concerne des données qui ne répondent pas aux conditions définies par l’article 230-7. Le procureur de la République se prononce dans un délai d’un mois sur les suites qu’il convient de donner aux demandes qui lui sont adressées. La personne concernée peut former cette demande sans délai à la suite d’une décision devenue définitive de relaxe, d’acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de non-lieu ou de classement sans suite. Dans les autres cas, la personne condamnée ne peut former sa demande, à peine d’irrecevabilité, que lorsque ne figure plus dans le bulletin n° 2 de son casier judiciaire de mention de nature pénale en lien avec la demande d’effacement. En cas de décision de relaxe ou d’acquittement devenue définitive, les données personnelles concernant les personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l’objet d’une mention. Lorsque le procureur de la République prescrit le maintien des données personnelles relatives à une personne ayant bénéficié d’une décision de relaxe ou d’acquittement devenue définitive, il en avise la personne concernée. En cas de décision de non-lieu ou de classement sans suite, les données personnelles concernant les personnes mises en cause sont effacées sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l’objet d’une mention. Lorsque les données personnelles relatives à la personne concernée font l’objet d’une mention, elles ne peuvent faire l’objet d’une consultation dans le cadre des enquêtes administratives prévues aux articles L. 114-1 et L. 234-1 à L. 234-3 du code de la sécurité intérieure et à l’article 17-1 de la loi n° 95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité. Les décisions du procureur de la République prévues au présent alinéa ordonnant le maintien ou l’effacement des données personnelles ou ordonnant qu’elles fassent l’objet d’une mention sont prises pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l’infraction ou de la personnalité de l’intéressé. » ;

2° Au troisième alinéa, les mots : « en matière d’effacement ou de rectification des données personnelles » sont supprimés.

I bis. –

Supprimé

II. – Le premier alinéa de l’article 804 du code de procédure pénale est ainsi rédigé :

« Le présent code est applicable, dans sa rédaction résultant de loi n° … du … relative à la protection des données personnelles, en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, sous réserve des adaptations prévues au présent titre et aux seules exceptions : ».

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 114, présenté par le Gouvernement, est ainsi libellé :

Alinéa 3, troisième phrase

Supprimer cette phrase.

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Cet amendement tend à supprimer le principe, ajouté par la commission des lois, de l’effacement de droit des données inscrites au traitement d’antécédents judiciaires, dont la conservation est interdite. En effet, l’effacement des données est naturellement de droit, sans nécessiter d’autre fondement légal que la loi de 1978.

Affirmer un droit à l’effacement spécifique au TAJ conduit à créer une disposition législative spéciale, alors qu’elle ne déroge en réalité pas au droit commun. Un tel ajout me semble dès lors inutile et susceptible par ailleurs de générer un a contrario, sauf à devoir modifier l’ensemble des traitements autorisés pour rappeler ce principe.

Debut de section - PermalienPhoto de Sophie Joissains

La disposition que l’amendement du Gouvernement tend à supprimer vise précisément à inscrire dans la loi de manière très claire le droit à l’effacement général reconnu par le Conseil d’État.

Ce droit à l’effacement des données illégalement collectées doit être une évidence. Néanmoins, les services semblent visiblement avoir tendance à ne pas vouloir participer à l’effacement de ces données.

Alors que nous n’avons aucune garantie sur la future articulation entre les dispositions générales et spécifiques de la loi de 1978, il me semble nécessaire d’affirmer, de manière spécifique pour le TAJ, que l’effacement des données illégales est de droit. Je rappelle que, en application des dispositions votées à l’article 19 du projet de loi, notamment celles qui concernent l’article 70-21, cet effacement ne semble pas être consacré entièrement de plein droit. La précision apportée en commission reste donc utile.

Pour information, au 31 décembre 2017, que 14 396 267 personnes étaient enregistrées dans le TAJ en tant que mises en cause et 42 028 933 en tant que victimes. Au regard de cette masse de données, il semble indispensable de prévoir des garde-fous.

La commission émet donc un avis défavorable sur cet amendement.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 115, présenté par le Gouvernement, est ainsi libellé :

I. – Alinéa 3, quatrième phrase

Remplacer les mots :

d’un

par les mots :

de deux

II. – Alinéa 5

Rétablir le I bis dans la rédaction suivante :

I bis. – À la dernière phrase du deuxième alinéa de l’article 230-9 du code de procédure pénale, les mots : « d’un » sont remplacés par les mots : « de deux ».

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Cet amendement vise à rétablir l’allongement d’un à deux mois du délai de réponse des magistrats compétents pour traiter des demandes de rectification ou d’effacement des données inscrites au TAJ.

En effet, la plupart des parquets ne sont actuellement pas en mesure de respecter le délai d’un mois. En outre, cette extension du délai se justifie par la très probable augmentation du nombre de demandes qui résultera des possibilités nouvelles d’effacement anticipé permises par le projet de loi, en l’absence de mention au bulletin n° 2 du casier judiciaire.

Enfin, comme je l’ai déjà indiqué, ce délai de deux mois correspond au délai imparti au responsable de traitement pour répondre aux demandes d’accès et d’effacement adressées sur le fondement de la loi de 1978. Il correspond également au délai de réponse prévu de manière générale au ministère public ou à une juridiction pour statuer sur toute demande qui lui est adressée.

Il me semble dès lors à la fois cohérent et nécessaire de rétablir l’allongement d’un à deux mois du délai de réponse des magistrats compétents.

Debut de section - PermalienPhoto de Sophie Joissains

Actuellement, les magistrats ne respectent pas le délai imposé par la loi de répondre à ces demandes sous un mois. Il faudrait augmenter les effectifs consacrés à ces demandes, plutôt que de proposer d’allonger le délai légal de réponse !

De surcroît, le non-respect de ce délai n’emporte déjà aucune conséquence. En revanche, l’allongement de ce délai enverrait un mauvais signal. Dans la mesure du possible, il convient donc de conserver un délai maximal de réponse d’un mois.

La commission émet donc un avis défavorable sur cet amendement.

L ’ amendement n ’ est pas adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 116, présenté par le Gouvernement, est ainsi libellé :

Alinéa 3, neuvième phrase

Remplacer les mots :

sont effacées sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l’objet d’une mention

par les mots :

font l’objet d’une mention, sauf si le procureur de la République ordonne l’effacement des données personnelles

La parole est à Mme la garde des sceaux.

Debut de section - Permalien
Nicole Belloubet

Cet amendement vise à supprimer le principe d’un effacement des décisions de non-lieu et de classement sans suite au TAJ et à rétablir ainsi le principe d’une mention de ces décisions au TAJ, sauf décision d’effacement du procureur.

En effet, la situation des personnes ayant fait l’objet d’un classement sans suite ou d’une décision de non-lieu ne peut pas être assimilée à celle des personnes ayant bénéficié d’une décision de relaxe ou d’acquittement.

Si une telle décision définitive de relaxe ou d’acquittement interdit toute nouvelle poursuite pour les mêmes faits, tel n’est pas le cas d’un classement sans suite ou d’un non-lieu. En effet, les poursuites peuvent toujours être entreprises tant que l’action publique n’est pas éteinte, notamment en cas de nouvelles charges découvertes après un non-lieu.

Le classement sans suite ne résulte pas nécessairement d’une absence d’infraction ou d’une insuffisance de charges. Il peut intervenir en opportunité, alors que l’infraction a bien été commise, notamment à la suite de l’exécution d’une mesure alternative aux poursuites, comme un rappel à la loi, une orientation sanitaire, un éloignement du domicile conjugal ou une médiation pénale.

Ainsi, des données liées à la commission de violences conjugales ayant donné lieu à un classement sans suite après exécution d’une médiation pénale doivent, par principe, rester inscrites au TAJ, et non pas être effacées comme le prévoit le texte dans sa version issue des travaux de la commission des lois.

Ces données ne seront cependant utilisées que pour des finalités judiciaires, car elles feront alors l’objet d’une mention qui en interdit l’accès, dans le cadre d’enquêtes administratives, ce qui garantit les droits de la personne.

Debut de section - PermalienPhoto de Sophie Joissains

Cet amendement vise à supprimer le principe d’un effacement des décisions de non-lieu et de classement sans suite du TAJ.

Je comprends évidemment les arguments du Gouvernement. Il convient, en effet, de pouvoir conserver des informations concernant des non-lieux ou des classements sans suite dans la perspective d’une réutilisation à d’autres fins ultérieures.

Néanmoins, le texte de la commission n’obère pas cette possibilité. Il pose seulement un principe : sauf décision contraire, le principe doit être l’effacement des données et l’exception le maintien des données.

La commission émet donc un avis défavorable sur cet amendement.

L ’ amendement n ’ est pas adopté.

L ’ article 23 est adopté.

(Supprimé)

Les titres Ier à III et les articles 21 et 22 de la présente loi entrent en vigueur le 25 mai 2018.

Toutefois, l’article 16 A entre en vigueur le 25 mai 2020 et l’article 70-15 de la loi n° 78-17 du 6 janvier 1978 précitée entre en vigueur à une date fixée par décret, et au plus tard :

1° Le 6 mai 2023 lorsqu’une telle obligation exigerait des efforts disproportionnés ;

2° Le 6 mai 2026 lorsque, à défaut d’un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé.

La liste des traitements concernés par ces reports et les dates auxquelles, pour ces traitements, l’entrée en vigueur de cette obligation est reportée sont déterminées par voie réglementaire. –

Adopté.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 44 rectifié sexies, présenté par M. H. Leroy, Mmes Micouleau, Puissat et Gruny, M. Paccaud, Mme Berthet, MM. Meurant, Piednoir, Vial, Courtial, Grosdidier, Charon et Lefèvre, Mmes Eustache-Brinio, Giudicelli et Garriaud-Maylam, MM. Chaize, Savary et Babary, Mmes Troendlé, Lopez, Deromedi, Lamure, Deseyne et Bories, MM. Milon, Bonhomme, Grand, de Nicolaÿ et Danesi, Mmes Deroche, Morhet-Richaud, Imbert et de Cidrac et MM. B. Fournier, Bonne, Laménie, Savin, Leleux, Husson, Panunzi, Gremillet et Sol, est ainsi libellé :

Après l’article 24

Insérer un article additionnel ainsi rédigé :

Après le premier alinéa de l’article L. 441-2-1 du code de la construction et de l’habitation, il est inséré un alinéa ainsi rédigé :

« L’ensemble des personnes précitées doit veiller à l’authenticité des pièces produites dans le cadre d’une demande. À cette fin, elles disposent d’un accès au répertoire national mentionné à l’article L. 114-12-1 du code de la sécurité sociale et aux avis d’imposition des demandeurs. Il leur est également possible de solliciter directement auprès de leur employeur la copie de leur contrat de travail ainsi que les trois dernières fiches de paie. »

La parole est à M. Sébastien Meurant.

Debut de section - PermalienPhoto de Sébastien Meurant

À cette heure avancée, nous tenons à notre droit d’amendement. Je présenterai donc un amendement déposé par notre collègue Henri Leroy, que nous avons été nombreux à cosigner.

Il s’agit d’ajouter un alinéa au code de la construction et de l’habitation ainsi rédigé : « L’ensemble des personnes précitées doit veiller à l’authenticité des pièces produites dans le cadre d’une demande. À cette fin, elles disposent d’un accès au répertoire national mentionné à l’article L. 114–12–1 du code de la sécurité sociale et aux avis d’imposition des demandeurs. Il leur est également possible de solliciter directement auprès de leur employeur la copie de leur contrat de travail ainsi que les trois dernières fiches de paie. »

Cet amendement a pour objet d’utiliser une des marges de manœuvre mentionnées au f du 1 de l’article 6 du règlement général sur la protection des données. Les collectivités territoriales et les bailleurs sociaux pourront désormais contrôler l’authenticité des pièces qui leur sont communiquées dans le cadre d’une demande de logement locatif social. Ainsi, une telle possibilité offerte au responsable de traitement répond à deux intérêts légitimes que sont la lutte contre la fraude et l’égalité de traitement des administrés.

Debut de section - PermalienPhoto de Sophie Joissains

Le présent amendement nous éloigne de l’objet du projet de loi. Il vise à renforcer drastiquement certains instruments de lutte contre la fraude sociale. Il autoriserait ainsi désormais l’accès des collectivités territoriales et des bailleurs sociaux au Répertoire national commun de la protection sociale, qui est un traitement de données sensibles puisqu’il concerne le numéro de sécurité sociale, l’un des traitements les plus protégés, au contrat de travail des demandeurs de logements sociaux et à leurs trois dernières fiches de paie. Ces informations pourraient même être directement obtenues auprès de l’employeur. La commission n’y est pas favorable.

Cet amendement ne s’articule pas bien avec les autres dispositions du texte. Le projet de loi encadre désormais bien plus strictement l’usage du numéro de sécurité sociale ; il s’agit d’une donnée sensible, très identifiante. Les données contenues dans le Répertoire portent en outre sur des informations sensibles qui concernent des publics particulièrement vulnérables. À rebours de l’intention protectrice du projet de loi, le présent amendement élargirait l’accès au Répertoire national pour de nouvelles finalités, sans prévoir de garanties spécifiques en contrepartie.

En outre, cet amendement met à la charge des collectivités territoriales et des bailleurs sociaux une nouvelle obligation de vérifier l’authenticité des pièces produites par les demandeurs d’un logement locatif social. Des bailleurs sociaux nous ont fait part de leur hostilité au dispositif et de leur crainte des contentieux qu’occasionnerait pour eux cet amendement.

La commission demande donc le retrait de cet amendement. À défaut, l’avis de la commission serait défavorable.

Debut de section - PermalienPhoto de Sébastien Meurant

Il s’agit d’un amendement politique, monsieur le président, que je souhaite maintenir. Les collectivités locales sont en première ligne : cet article vise à donner aux responsables locaux, en cas de doute, le pouvoir de contrôle. C’est un outil de justice, tout simplement, que de ne pas donner un logement social à quelqu’un qui ne produirait pas des pièces authentiques. Je ne comprends pas ces pudeurs.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. Loïc Hervé, pour explication de vote.

Debut de section - PermalienPhoto de Loïc Hervé

M. Loïc Hervé. Les amendements dont nous avons débattu jusqu’à maintenant étaient à peu près tous en lien avec le texte ; le débat était de bon niveau. Je ne voterai donc pas cet avant-dernier amendement ayant trait au logement, en particulier au logement locatif aidé. Un projet de loi spécifique nous sera soumis dans les mois qui viennent : ce sera le bon moment de lancer ce type de débat politique, mais peut-être pas à minuit et demi, à la fin du texte concernant le RGPD.

M. Sébastien Meurant s ’ exclame.

Debut de section - PermalienPhoto de Loïc Hervé

Par ailleurs, sur le fond, je ne suis pas sûr que le fait de permettre aux collectivités et aux bailleurs sociaux l’accès à ces pièces aille dans le sens de la simplification, de la bonne foi. L’atteinte aux libertés publiques est beaucoup plus grave. Or tout le droit de la protection des données personnelles est fondé sur le principe de proportionnalité, principe que l’on retrouve dès que l’on traite de libertés publiques. Généraliser ce type de droit au profit des collectivités et des bailleurs sociaux me paraît complètement disproportionné par rapport à l’objectif. Ce serait même un mauvais signal envoyé par le Sénat, qui est également, dans son domaine, le gardien des libertés publiques.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. René-Paul Savary, pour explication de vote.

Debut de section - PermalienPhoto de René-Paul Savary

Il convient tout de même d’être attentif à cet amendement, car les bailleurs sociaux, en louant des logements, rencontrent de plus en plus de problèmes sociaux inouïs. M. le président de la commission, qui a été à la tête d’un département pendant plusieurs années, le sait bien. Ces problèmes sociaux ont des répercussions importantes. On est parfois confronté à des détournements de l’objet primaire de la location, face à des mineurs qu’il faut ensuite protéger, ou à des bénéficiaires du RSA aux difficultés desquels on ne saura pas répondre…

Je pense donc qu’il faut croiser les données. Le Répertoire national commun de la protection sociale est bien réglementé. Les travailleurs sociaux des départements peuvent obtenir des données, selon certaines conditions d’habilitation, à travers ce répertoire.

Alors, est-ce le bon véhicule ? Je l’ignore ! Toujours est-il qu’il faudra en tenir compte. Dans les départements limitrophes de la grande couronne parisienne, notamment, se pose un problème nouveau, que l’on ne connaissait pas il y a quelques années, produisant des coûts très importants pour les départements, les centres communaux ou intercommunaux d’action sociale, avec des enfants, des familles en difficulté… Il faudra bien trouver les solutions permettant un certain nombre de vérifications : il y va de la sécurité de nos concitoyens.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

M. le président. La parole est à M. Jean-Pierre Sueur, pour explication de vote, et en deux minutes trente !

Sourires.

Debut de section - PermalienPhoto de Jean-Pierre Sueur

Il me faudra beaucoup moins de temps, monsieur le président, madame la garde des sceaux. Dernièrement, j’ai déjà fait un rappel au règlement pour m’étonner que plusieurs des amendements que j’avais déposés avec d’autres collègues aient été jugés irrecevables en vertu de l’article 45 de la Constitution.

Je constate aujourd’hui que mes collègues ont pu déposer les leurs, et je m’en réjouis d’ailleurs ! Je rappelle que, pendant des décennies, au Sénat comme à l’Assemblée nationale, nul n’a jamais invoqué l’article 45 pour empêcher des parlementaires de déposer des amendements. Les raisons pour lesquelles un certain nombre d’amendements ont été refusés, dans une loi pourtant qui portait sur la confiance et, avant l’été, sur l’égalité et la citoyenneté, s’appliquent de manière totalement aléatoire. Elles auraient très bien pu s’appliquer à cet amendement

Mme la garde des sceaux le confirme.

Debut de section - PermalienPhoto de Jean-Pierre Sueur

Je pose donc de nouveau la question – et je la reposerai : de deux choses l’une, ou bien l’on respecte le droit d’amendement de manière large, et les collègues estimant qu’une disposition est sans rapport avec le texte votent contre, ou l’on applique une règle stricte, mais en ce cas il faut la définir ! Il faut que l’on nous explique pourquoi un amendement est contraire à certains intitulés tellement larges qu’on ne comprend pas l’objet du texte. Il y a donc un vrai problème.

Pour ma part, je défends le droit d’amendement. Je suis totalement opposé, je le dirai autant qu’il le faudra, à l’usage aléatoire de l’article 45 de la Constitution. Personne ne nous le demande ; le Sénat est seul responsable dans cette affaire. Monsieur le président, je sais que vous serez un avocat, d’ailleurs vous l’êtes, absolument remarquable pour relayer mes propos auprès des hautes autorités du Sénat.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

Je vous en donne acte, monsieur Sueur, mais il me semble que c’est la commission, et non la Séance, qui est compétente pour trancher cette question.

La parole est à Mme Sophie Primas, pour explication de vote.

Debut de section - PermalienPhoto de Sophie Primas

Nous touchons là à des libertés individuelles, notre collègue du centre l’a souligné, qui doivent être protégées. Il faut être extrêmement prudent, dans le domaine du logement, en ouvrant l’accès à certains documents à des opérateurs.

Je comprends l’objectif de cet amendement et de l’amendement suivant, qui est parfaitement légitime de la part des bailleurs sociaux et des collectivités territoriales. Je suggère que cette problématique soit traitée dans le cadre du projet de loi portant évolution du logement, de l’aménagement et du numérique, ou projet de loi ELAN, examiné au mois de juin prochain.

Pour ma part, je ne voterai pas ces amendements, qui me paraissent trop dangereux du point de vue des libertés individuelles. Néanmoins, ces amendements soulèvent un véritable problème qu’il faudra aborder dans le cadre de la future loi ELAN.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

La parole est à M. le président de la commission des lois.

Debut de section - PermalienPhoto de Philippe Bas

Si ces amendements n’ont pas été déclarés irrecevables par la commission, c’est précisément parce qu’elle a voulu faire preuve de beaucoup de souplesse…

Debut de section - PermalienPhoto de Philippe Bas

… afin que nous puissions avoir un large débat. Ces amendements nous semblent poser un problème extrêmement sérieux, qui méritait un débat. D’ailleurs, le fait que beaucoup d’entre vous se soient inscrits dans ce débat le prouve…

Je voudrais saluer les propos de M. Savary comme de Mme Primas, présidente de la commission des affaires économiques. En effet, même si nous en avons débattu ce soir, une telle difficulté à résoudre suppose d’inscrire la réflexion dans un cadre qui lui soit propre, d’autant plus que la question de l’insolvabilité de compatriotes en situation précaire se pose non seulement pour les bailleurs sociaux, mais aussi pour beaucoup de propriétaires, souvent eux-mêmes impécunieux, qui sont confrontés à une pratique de concitoyens en difficulté pour lesquels le loyer est la variable d’ajustement la plus facile à utiliser pour faire face au quotidien, en éloignant le versement de leur dette de logement. Aussi, la recherche des moyens pour les bailleurs sociaux, comme pour les propriétaires privés, de rétablir un équilibre qui s’est parfois rompu me paraît totalement légitime.

Notre collègue Henri Leroy ne pouvait pas être présent ce soir, mais j’ai eu l’occasion de m’entretenir avec lui de sa proposition, qui est inspirée par des motifs que je crois dignes d’être pris en considération. Après avoir dit cela, je suggère que nous reprenions ce débat avec la commission des affaires sociales et avec la commission des affaires économiques. Il viendra suffisamment vite pour que l’on ne regrette pas de l’avoir différé ce soir.

Debut de section - PermalienPhoto de Jean-Pierre Sueur

Espérons que les autres commissions prendront exemple sur la libéralité et l’ouverture d’esprit de la commission des lois, en acceptant les amendements !

Debut de section - PermalienPhoto de Sébastien Meurant

Je vais retirer les deux amendements, bien que je n’en sois pas l’auteur, mais je prends note de ce qui a été dit.

La véritable question soulevée était celle de l’authenticité des documents. L’objet est clair, circonstancié. Qui peut la vérifier ? En bout de chaîne, ce sont les bailleurs sociaux ou les collectivités qui sont confrontés au terrain et me semblent dignes de confiance. Les maires, officiers d’état civil, sont soumis au secret professionnel, et les bailleurs sociaux également. C’est pourquoi je ne comprends pas certaines réserves qui ont été émises ce soir. Nous réexaminerons ces dispositions prochainement, et sans doute à une heure un peu plus raisonnable. La question de l’authenticité des documents me paraît fondamentale pour l’égalité de traitement entre les personnes ayant droit à des logements sociaux, certaines produisent des documents authentiques tandis que d’autres fournissent des documents qui peuvent être sujets à caution.

Je retire cet amendement, et je retirerai le suivant, qui est du même acabit.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

L’amendement n° 44 rectifié sexies est retiré.

L’’amendement n° 45 rectifié sexies, présenté par M. H. Leroy, Mmes Micouleau, Puissat et Gruny, M. Paccaud, Mme Berthet, MM. Meurant, Piednoir, Vial, Courtial, Grosdidier, Charon et Lefèvre, Mmes Eustache-Brinio, Giudicelli et Garriaud-Maylam, MM. Chaize, Savary et Babary, Mmes Troendlé, Lopez, Deromedi, Lamure, Deseyne et Bories, MM. Milon, Bonhomme, Grand, de Nicolaÿ et Danesi, Mmes Deroche, Morhet-Richaud, Imbert et de Cidrac et MM. B. Fournier, Bonne, Laménie, Savin, Leleux, Husson, Panunzi, Gremillet et Sol, est ainsi libellé :

Après l’article 24

Insérer un article additionnel ainsi rédigé :

Au 2° de l’article L. 114-12-1 du code de la sécurité sociale, après les mots : « d’aide sociale », sont insérés les mots : « ou pour l’attribution d’un logement locatif social ».

Debut de section - PermalienPhoto de Sébastien Meurant

Je retire cet amendement, monsieur le président !

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

Personne ne demande la parole ?…

Je mets aux voix, dans le texte de la commission, modifié, l’ensemble du projet de loi relatif à la protection des données personnelles.

Debut de section - PermalienPhoto de Thani Mohamed Soilihi

Voici quel sera l’ordre du jour de la prochaine séance publique, précédemment fixée à aujourd’hui, jeudi 22 mars 2018 :

À dix heures trente :

Trois conventions internationales examinées selon la procédure d’examen simplifié :

- Projet de loi autorisant la ratification de l’accord instituant la Fondation internationale UE-ALC (249, 2017-2018) ;

Rapport de M. Yannick Vaugrenard fait au nom de la commission des affaires étrangères, de la défense et des forces armées (356, 2017–2018) ;

Texte de la commission (n° 357, 2017–2018).

- Projet de loi, adopté par l’Assemblée nationale, autorisant la ratification du protocole n° 16 à la convention de sauvegarde des droits de l’homme et des libertés fondamentales (n° 304, 2017–2018) ;

Rapport de M. Hugues Saury fait au nom de la commission des affaires étrangères, de la défense et des forces armées (358, 2017-2018) ;

Texte de la commission (n° 359, 2017–2018).

- Projet de loi autorisant la ratification de la convention internationale sur les normes de formation du personnel des navires de pêche, de délivrance des brevets et de veille (STCW-F) (n° 582, 2016–2017) ;

Rapport de M. Philippe Paul fait au nom de la commission des affaires étrangères, de la défense et des forces armées (354, 2017–2018) ;

Texte de la commission (n° 355, 2017–2018).

Projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, ratifiant l’ordonnance n° 2017–1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (n° 292, 2017–2018) ;

Rapport de M. Albéric de Montgolfier fait au nom de la commission des finances (348, 2017–2018) ;

Rapport d’information de M. Jean-François Rapin fait au nom de la commission des affaires européennes (345, 2017–2018) ;

Texte de la commission (n° 349, 2017–2018).

À quatorze heures trente :

Suite du projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, ratifiant l’ordonnance n° 2017–1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (n° 292, 2017–2018) ;

Personne ne demande la parole ?…

La séance est levée.

La séance est levée le jeudi 22 mars 2018, à zéro heure quarante.