31 interventions trouvées.
...e en conformité aux nouvelles obligations qui leur sont faites, certaines propositions n'étaient pas acceptables, comme la création d'une dotation de 170 millions d'euros ou l'exemption d'astreinte et d'amende administratives. Les acteurs locaux traitent en effet de données très sensibles pour nos concitoyens, comme la composition et les revenus des ménages, et rien ne justifie de restreindre les sanctions pouvant être prononcées par la CNIL en cas de manquements graves et persistants malgré de préalables mises en demeure, car cela déresponsabiliserait complètement ces acteurs. En commission, nous avons été unanimes sur ce point. Il me semble donc, mes chers collègues, que la commission a adopté un texte équilibré, conservant les avancées proposées par le Sénat lorsqu'elles s'inscrivaient dans le...
...cte des données explose. Quelle grave insuffisance, en somme, face au risque d'un certain usage du numérique qui ébranle nos démocraties ! Cette réforme laisse donc le champ libre aux très grandes entreprises de l'internet pour faire du profit avec notre vie privée – ces très grandes entreprises dont certaines font déjà des profits d'un montant équivalant aux PIB de grands États. Pour elles, les sanctions prévues par le projet de loi, si par hasard la CNIL effectuait un contrôle, constituent des sommes risibles, susceptibles d'être anticipées et prévues dans leurs budgets annuels. Ce choix de changer de paradigme est un choix de politique nationale, la directive européenne laissant aux États membres le champ libre dans ce domaine. Le gouvernement Philippe doit donc assumer la responsabilité de s...
...été Cambridge Analytica, on mesure l'impérieuse nécessité de renforcer la législation afin de protéger les libertés individuelles face au développement du numérique et, en particulier, des géants américains du numérique, les GAFA – Google, Apple, Facebook et Amazon. Si le RGPD allège considérablement les formalités préalables, il tend à une responsabilisation des acteurs, qui seront soumis à des sanctions beaucoup plus fortes, et à un renforcement des droits des individus. La CNIL verra ainsi ses pouvoirs se renforcer significativement. En particulier, ses pouvoirs de contrôle et de sanction seront considérablement accrus. Premièrement, ses agents obtiennent un droit de contrôle sur place généralisé à l'ensemble des locaux servant à la mise en oeuvre d'un traitement des données personnelles. Deux...
...e ce soient eux, accompagnés, dans la mesure de leurs moyens, par les autorités de contrôle nationales, qui vérifient la licéité de leur traitement des données à caractère personnel. En contrepartie de cette plus grande souplesse, des amendes administratives plus lourdes pourront être infligées. Tous les acteurs, qu'ils soient responsables de traitement de données ou sous-traitants, pourront être sanctionnés. Un contrat devra être établi entre les parties afin de définir et répartir leurs responsabilités. Je souhaite que ce texte puisse bénéficier de conditions d'application aussi efficaces que possible. Le fort risque de contentieux, qui peut faire peur à un certain nombre d'acteurs du secteur et fragiliser les plus petites entreprises, a été noté. C'est pourquoi, en première lecture, j'avais dé...
...concevable d'exonérer les collectivités territoriales du respect du RGPD. Les entreprises, notamment les TPE-PME, n'auraient absolument pas compris que les collectivités, qui disposent d'un nombre de données particulièrement conséquent, ne soient pas soumises à ces règles, applicables sur l'ensemble du territoire européen. De même, il était impensable que l'on puisse exonérer les collectivités de sanctions en cas de manquements graves au RGPD ; cela n'aurait pas été juste. En revanche, nous sommes tout à fait favorables à ce que les spécificités des collectivités territoriales soient prises en compte, de même que celles des PME. À ce propos, nous saluons le travail de la rapporteure, qui a fait preuve de discernement et a gardé les ajouts pertinents du Sénat en la matière. De manière générale, no...
...itable et profond changement d'approche : il s'agit de revoir entièrement le dispositif en inversant la charge de la preuve. Jusqu'à présent, rappelons-le, nous avions un système de déclaration préalable et d'autorisation. Demain, il faudra que les entreprises démontrent qu'elles ont pris toutes les précautions, toutes les mesures nécessaires pour garantir le respect des données personnelles. Les sanctions prévues à la clé sont sans commune mesure avec celles que la CNIL pouvait prononcer jusqu'à présent : une amende de 150 000 euros hier, contre 4 % du chiffre d'affaires ou 20 millions d'euros demain. La CNIL va donc se voir confier de nouveaux pouvoirs, ce dont chacun doit se féliciter, mais je voudrais lui suggérer de concentrer son attention sur les géants d'internet, qui finissent par ressem...
...t d'instaurer de nouvelles règles pour tous, en allégeant les formalités préalables et en responsabilisant davantage les acteurs des données personnelles : entreprises, chercheurs, administrations et, bien sûr, collectivités territoriales. Ces dernières traitent des données sensibles, et elles en traitent beaucoup, c'est un fait. Pouvons-nous les soustraire à ce cadre légal protecteur ? Avant la sanction, il faut voir dans ce texte une double protection : pour le citoyen, dont les données sont sécurisées, et pour la collectivité locale – le maire, par exemple – , qui peut ainsi s'assurer de la qualité de la collecte et du traitement, d'ailleurs souvent sous-traités, des données des citoyens. Concernant l'application du RGPD et de ces nouvelles mesures, des inquiétudes ont pu naître. Elles sont l...
...ilise les acteurs manipulant des données personnelles, notamment par la progressivité de leurs obligations en fonction du risque pour la vie privée et par le recours à des instruments de droit souple, propices à l'expérimentation et à l'innovation. En troisième lieu, le RGPD constitue un véritable instrument de souveraineté européenne par son extraterritorialité et par le caractère dissuasif des sanctions qu'il prévoit. Mais ne nous leurrons pas : beaucoup reste à faire, et certains risques menacent les avancées que nous défendons. Je pense notamment à la signature récente par le président des États-Unis du CLOUD Act, qui permet à l'exécutif américain de négocier des accords bilatéraux avec d'autres gouvernements pour faciliter les réquisitions administratives des données détenues par les entrep...
... compétences. Au cours du débat, après réflexion et discussion avec plusieurs personnes, il m'a semblé que les conditions cumulatives, loin d'améliorer le recrutement des personnalités qualifiées, risquaient de restreindre le champ des compétences. C'est pourquoi j'avais déposé un amendement allant dans ce sens en première lecture. Or la CNIL n'a pas, tant s'en faut, uniquement des fonctions de sanction : c'est l'objet de la commission restreinte, dont les compétences seront renforcées par le RGPD, avec de nouvelles capacités de sanction, qui sont considérables – 20 millions d'euros d'amende ou 4 % du chiffre d'affaires consolidé. Elle a en revanche d'autres fonctions, liées à l'éthique et à l'interrogation sur la place des données personnelles dans notre société, qui lui ont été confiées par la...
Pour notre part, nous suivrons la rapporteure, car nous pensons que les connaissances numériques sont essentielles, au moment où la CNIL devra, sinon se transformer en tribunal, du moins sanctionner des problèmes d'ordre numérique et juridique. Abondance de biens ne nuit pas : si une personne a quelques compétences dans d'autres secteurs tout en connaissant le droit et en disposant de compétences numériques, son profil en sera d'autant plus intéressant. Ce cumul est donc non pas une condition limitative, mais un socle, qui nous semble indispensable.
...voir que certaines délibérations de la CNIL – en formation collégiale ou restreinte – puissent être télédiffusées et accessibles au public. À cet égard, le secret du délibéré ne s'applique en aucun cas à la CNIL, puisque, en tout état de cause, celle-ci est non pas une instance judiciaire, mais une autorité administrative indépendante. Dans certains cas, les délibérations et la prise d'une juste sanction peuvent avoir une vertu pédagogique, afin de s'assurer que la CNIL n'ait pas la main qui tremble lorsqu'il s'agit de condamner une entreprise ayant un pouvoir de marché et de nuisance, tels que les GAFA – notamment Facebook, pour ne pas le citer – , qui font souvent peu de cas des droits et libertés démocratiques et numériques.
J'entends le souci louable de Mme Obono, que je partage pour une large part. Je crains cependant qu'elle ne confonde les deux strates de la CNIL, laquelle comprend un collège général, dont les compétences découlent de la loi de 1978, telle que modifiée en 2004, et une formation restreinte, qui juge et prononce des sanctions. Concernant cette formation, il me semble important, dans l'intérêt des justiciables, de préserver le secret des délibérations…
… ainsi que le respect des droits de la défense, qui est essentiel et qui le sera encore plus à partir du 25 mai, quand les sanctions, dépassant de beaucoup celles qui peuvent être prononcées aujourd'hui, pourront atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel consolidé des sociétés. De telles discussions ne peuvent être mises sur la place publique. Pour le reste, l'obligation de publicité existe. Outre les contraintes légales ou réglementaires, une part importante des délibérations de la CNIL est publiée a...
L'octroi à la CNIL du droit de prononcer des sanctions pécuniaires prend de nouvelles dimensions à la suite de la nouvelle répartition des compétences organisée par le projet de loi. Délaissant en grande partie sa compétence d'autorisation a priori pour se concentrer sur des fonctions de sanction a posteriori, la CNIL voit son rôle d'organe sanctionnant devenir l'une de ses premières missions. Bien que nous désapprouvions ce choix, ainsi que la logi...
Une fois encore, nous avons déjà eu cette discussion. Le RGPD indique à plusieurs reprises que les mesures de sanction doivent être appropriées, nécessaires et proportionnées. Je vous renvoie aux considérants 127, 148 et 151. Ces garanties me semblent suffisantes. Il faut aussi laisser à la CNIL des marges de manoeuvre dans le choix des sanctions. Avis défavorable.
Le RGPD prévoit des sanctions pouvant s'élever de 10 millions à 20 millions d'euros ou, dans le cas d'une entreprise, pouvant atteindre 2 % à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, ce qui devrait avoir un effet réellement dissuasif sur les très grandes entreprises, notamment les GAFAM. À défaut, celles-ci pourraient considérer que l'illégalité n'est qu'un risque financier qui vaut la peine d'...
Les pénalités financières prévues par le RGPD semblent suffisamment dissuasives. On parle en effet de 20 millions d'euros ou de 4 % du chiffre d'affaires, ce qui permet de proportionner la sanction à la taille de l'entreprise. En quelques années, la sanction est passée de 150 000 euros à 20 millions ou à 4 % du chiffre d'affaires. Le changement d'échelle est considérable. Il ne nous semble pas nécessaire d'aller plus loin, d'autant qu'il faut, sur ces sujets, une harmonisation au niveau européen. Avis défavorable.
Même si un plafond a été fixé, la CNIL comme les autorités de sanction européennes disposent désormais d'une arme véritable. Le montant de 20 millions est très élevé, surtout comparé à celui de 100 000 ou 150 000 euros, qui s'appliquait précédemment. En outre, la publicité de la sanction dépasse largement son aspect financier. Quand certains GAFA – je pense à Google en particulier – ont été sanctionnés par la CNIL, le retentissement des articles sur le grand public...
Je comprends qu'on propose des sanctions plus fortes si la loi est contournée. Mais peut-être faut-il laisser du temps au temps. Le texte s'appliquera dans quelques semaines. Il sera toujours possible d'y revenir dans plusieurs mois ou plusieurs années, après un bilan. On sait bien que de telles sanctions ne seront pas prononcées tous les jours.