Intervention de Cédric Roussel

L'article 9 permet une simplification administrative, mais aussi une responsabilisation des entreprises qui traitent des données.

En effet, cet article supprime le régime de déclaration préalable des traitements de données à caractère personnel, prévu par les articles 22 à 24 de la loi du 6 janvier 1978. En vertu de ce régime, les organisations qui souhaitent exploiter des données personnelles de façon automatisée ont l'obligation de déposer une demande d'exploitation préalable auprès de la CNIL.

Le dépôt de la demande ainsi que le délai de traitement nécessaire peuvent constituer un frein pour certaines entreprises. Nous souhaitons donc abandonner la logique rigide de contrôle a priori au profit d'une logique plus souple et plus efficace de contrôle a posteriori.

La suppression de l'autorisation préalable de la CNIL ne constitue en aucun cas une licence d'exploitation sans limites des données privées par l'État ou les entreprises.

En effet, l'article 9 consacre certaines exceptions pour les données les plus sensibles. Ainsi, une formalité préalable particulière sera-t-elle maintenue pour l'exploitation de fichiers nécessitant l'inclusion d'un numéro de Sécurité sociale ou de données génétiques ou biométriques.

Ensuite, les responsables de traitement devront réaliser une étude d'impact afin d'évaluer le risque en matière de protection des données. Si l'analyse conclut à un risque élevé, la CNIL devra être consultée.

Les bénéfices de l'article 9 sont multiples : moins de formalités administratives et plus de souplesse pour les entreprises. En bref, simplification et responsabilisation.