46 interventions trouvées.
...proposons d'ajouter, à la fin de la seconde phrase du deuxième alinéa de l'article 2 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, après le mot « moyens », les mots : « raisonnablement susceptibles d'être utilisés ou mis en oeuvre en vue de permettre son identification. » Il s'agit d'aligner la définition des données à caractère personnel sur celle du RGPD – règlement général sur la protection des données, en précisant en particulier les conditions dans lesquelles une donnée doit être considérée comme indirectement identifiable.
Nous nous efforçons, dans le cadre de la rédaction de ce texte, de ne pas recopier les dispositions figurant dans le règlement européen, qui s'appliquent directement. Votre précision est néanmoins opportune, et l'ajout du mot « raisonnablement » avait d'ailleurs été proposé dans les débats sur le RGPD, ce qui avait donné lieu à des discussions approfondies. Je suis d'accord sur le fond mais, en termes de légistique, nous n'avons pas le droit de recopier le texte du RGPD, conformément à la décision du Conseil d'État. Donc...
La question posée avait sa pertinence avant le nouveau règlement européen, et avant ce projet de loi, c'est-à-dire lorsque les transferts de données massifs étaient autorisés, et largement couverts par la « sphère de sécurité », le safe harbor. Aujourd'hui, le cadre réglementaire protège mieux les données des Européens ; le safe harbor a été remis en cause, et un nouvel accord, dit « bouclier "vie privée" » – EU-US Privacy Shield –, a été conclu entre les État...
Le règlement européen prévoit que les États peuvent définir des champs de « missions d'intérêt public » qui échappent à la fin de l'autorisation préalable. Or, le Gouvernement n'a pas du tout saisi cette possibilité pour mieux protéger les droits et libertés des citoyens en matière numérique. Depuis hier, et jusqu'à tard dans la nuit, vous vous êtes abrités derrière ce fameux RGPD, en prétendant qu'il était ...
...es. C'est ainsi que les acteurs fourniront un effort continu de sécurisation des données, et suivront les évolutions technologiques dans le domaine de la protection des données personnelles. Nous n'entendons pas revenir sur cette philosophie ; la CNIL souscrit à l'orientation générale du projet de loi, qui est de ne pas inscrire dans la loi française toutes les marges de manoeuvre prévues par le règlement, notamment le maintien éventuel de régimes spécifiques d'autorisation. Notre idée est de limiter ceux-ci au maximum. Avis défavorable.
... extraordinaire mauvaise foi, soit vous changez de logique d'un amendement à l'autre ! Or je n'ose pas imaginer que vous puissiez être de mauvaise foi. Le RGPD rend explicitement possible ce que nous proposons ; nous ne pouvons donc pas, ce faisant, aller à l'encontre de sa philosophie. Ce qui est en cause, c'est votre volonté, politique, de libéraliser à tout-va. Ne vous abritez pas derrière le règlement européen ! Enfin, je souligne que la Commission nationale consultative des droits de l'homme a estimé qu'il serait pertinent d'accorder aux données du domaine éducatif un statut spécifique.
...ec la position américaine sur la neutralité du net – nous imposent de sécuriser nos systèmes juridiques et d'avancer de manière harmonisée, à l'échelle européenne, afin de construire un réel espace d'innovation et de développement commun. La lutte contre le forum shopping, c'est-à-dire le choix par un acteur économique de la législation à laquelle il se soumet, est plus que jamais nécessaire. Le règlement 2016679 pose le principe d'une extension du champ d'application des règles européennes de protection des données à caractère personnel, en se fondant sur le critère du lieu de résidence de la personne concernée : ces règles s'appliqueront dès qu'un résident de l'Union est concerné, que les responsables soient établis ou pas dans l'Union européenne. Le règlement prévoit aussi, au bénéfice des État...
Le règlement fixe déjà un délai. Aux termes du considérant 171, « Les traitements déjà en cours à la date d'application du présent règlement doivent être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur. » Nous avons également appris lors des auditions que la Commission européenne serait très attentive à empêcher l'instauration par les États membres de présomptions de con...
Je défends et j'utilise régulièrement ce type de technologies. Mais le règlement européen fixe déjà des exigences élevées en matière de sécurité des traitements. L'article 32 prescrit ainsi la mise en oeuvre de mesures, notamment « la pseudonymisation et le chiffrement des données à caractère personnel » ; « des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement » ; « une procé...
Cet amendement concerne les relations entre les responsables de traitement et les sous-traitants. Le chapitre IV du règlement décrit avec une extrême précision les domaines dans lesquels leur responsabilité est conjointe. Il prévoit la conclusion d'un contrat détaillé entre les parties. Non seulement les responsabilités partagées entre sous-traitants et responsables de traitement sont plus importantes, mais les sous-traitants peuvent aussi se voir requalifiés en responsables de traitement. Dès lors, les occasions de con...
...t qui sert le même objectif : nous proposons qu'il soit possible de recourir au médiateur des entreprises en cas de litige entre les responsables de traitements et leurs sous-traitants. Afin d'assurer une mise en oeuvre optimale du RGPD, il est capital que ces deux catégories d'acteurs aient des relations contractuelles équilibrées et de confiance. Comme l'a indiqué Mme Hennion, le chapitre IV du règlement définit très précisément leurs obligations et responsabilités respectives. Dans le souci d'accompagner nos entreprises, notamment nos PME, tout en restant dans la logique de responsabilisation qui est l'un des fondements du RGPD, il nous semble important d'introduire cette faculté de recourir au médiateur des entreprises, sachant que celui-ci dispose désormais d'une expérience et d'une expertise ...
...e, qui imposera, comme le Gouvernement et de nombreux orateurs l'ont dit au cours de la discussion générale, un changement de paradigme, le passage à une logique nouvelle, de responsabilisation. Dès lors, il me semble important d'inscrire explicitement dans la loi un certain nombre de dispositifs, notamment la possibilité de recourir à la médiation, qui est toujours préférable aux autres modes de règlement des conflits, afin de promouvoir la confiance et l'équilibre dans les relations contractuelles. Je ne pense pas que cela soit de nature à fragiliser d'autres dispositions législatives ou à nous mettre en difficulté dans d'autres cas. Il est parfois bon de préciser les choses très clairement dans un texte d'une aussi grande importance.
L'article 11 fixe la liste des acteurs qui peuvent utiliser ces données. Il s'agit, entre autres, des associations d'aide aux victimes et des associations de réinsertion des personnes condamnées. Le dispositif est assorti de garanties appropriées, comme l'exigent le règlement européen et la jurisprudence établie par le Conseil constitutionnel en 2004. L'article prévoit en outre une utilisation des fichiers contentieux ou précontentieux par des organismes privés et une réutilisation des données publiques contenues dans les décisions de justice – c'est-à-dire l'open data des données de justice. Nous priverions de ces données des organismes qui exercent une mission d'int...
Une telle disposition étant exigée par le règlement, nous ne pouvons en l'occurrence sortir du cadre prescrit. Avis défavorable.
...données de santé. Les données brutes, d'apparence inoffensive ou neutre, sont considérées comme des données de santé si elles permettent, en elles-mêmes ou combinées avec d'autres, de tirer des conclusions sur l'état de santé ou les risques de santé d'une personne. Le nouveau régime prévu combine protection élevée des données de santé et responsabilisation des acteurs. Conformément à l'esprit du règlement, la nouvelle logique de responsabilisation conduit à supprimer la plupart des traitements préalables, y compris pour les données de santé. Cet objectif fait un principe de la déclaration de conformité aux référentiels, aux méthodologies de référence et au respect des règlements types, et une exception de l'autorisation par la CNIL. En tout état de cause, le projet de loi maintient le délai de de...
Cet article remplace les autorisations délivrées par la CNIL pour le traitement des données de santé par une série de règlements types que les acteurs « doivent » respecter – si jamais contrôle il y a… sachant que le contrôle de la CNIL ne s'effectuera plus qu'a posteriori. Nous estimons qu'en fait cela fragilise les prérogatives de la CNIL – il s'agit clairement d'une mesure de libéralisation – et nous y sommes d'autant moins favorables que, nous le savons, les données de santé – nous l'avons montré à travers les nombre...
… nous lui donnons de nouveaux pouvoirs de sanction et de nouvelles fonctions. J'ajoute que nous sommes très conscients du caractère sensible des données de santé. En commission, nous avons proposé l'extension du champ des règlements types à toutes les données de santé et leur co-construction avec les acteurs du secteur – qui seront donc plus proches du terrain – afin de répondre aux risques effectifs et aux vraies pratiques. Avis défavorable.
Cet amendement porte sur le statut d'un consentement donné antérieurement à l'entrée en vigueur du RGPD. Celui-ci règle pour une grande part le sort des consentements donnés en application de la directive 9546CE, en précisant qu'ils n'auront pas à être recueillis de nouveau s'ils ont été donnés de manière conforme au règlement de 2016. Il reste néanmoins une forme d'incertitude s'agissant des consentements qui concernent les données de santé. L'objet de cet amendement est de lever toute ambiguïté en considérant que les consentements déjà donnés n'ont pas à être à nouveau recueillis.
Cet amendement vise, non pas à freiner l'utilisation et la diffusion des données aux fins de recherche ou d'innovation, mais à renforcer la notion de consentement telle qu'elle ressort du règlement 2016679 du Parlement européen et du Conseil du 27 avril 2016. Un de ses considérants indique en effet que : « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par ...
Madame le président, madame le ministre, madame le rapporteur, mes chers collègues, lors de la précédente législature, nous avions eu l'occasion d'examiner ce qui est devenu la loi pour une République numérique, votée le 7 octobre 2016. Elle portait plusieurs propositions pour la protection des données personnelles, sans pour autant couvrir l'ensemble du champ du règlement européen. Nous l'avions déjà dénoncé : de nombreux sujets clés étaient éludés ou traités de manière incohérente au regard de la réglementation européenne ; des mesures étaient en décalage, sinon en contradiction, avec le paquet européen. Le présent projet de loi arrive donc à point nommé. Il marque un vrai changement de paradigme, en renforçant la sécurité des données personnelles de nos concito...