La réunion débute à 18 heures 20.
Présidence de Mme Yaël Braun-Pivet, Présidente.
La Commission examine, en nouvelle lecture, le projet de loi relatif à la protection des données personnelles (n° 809) (Mme Paula Forteza, rapporteure).
La commission mixte paritaire, réunie vendredi dernier, n'étant pas parvenue à un accord sur le projet de loi relatif à la protection des données personnelles, nous en reprenons l'examen en nouvelle lecture. Le texte issu de nos travaux sera examiné en séance publique jeudi 12 avril.
Madame la présidente, chers collègues, nous nous retrouvons, en nouvelle lecture, pour examiner un texte qui a beaucoup évolué lors de son passage au Sénat avec, d'un côté, des apports que nous saluons et, de l'autre, des dispositions sur lesquelles nous sommes en profond désaccord avec nos collègues sénateurs, car elles remettent en cause les équilibres importants auxquels nous étions parvenus à l'Assemblée nationale.
Si la CMP a échoué, faute de compromis possible sur l'ensemble du texte, c'est dans un esprit constructif que je vous propose d'aborder cette réunion, afin de rétablir un texte respectueux de nos travaux en première lecture – adopté à une très large majorité de 523 voix –tout en conservant certaines avancées apportées par le Sénat.
Plusieurs des amendements que je vous proposerai d'adopter visent aussi à rétablir les dispositions qui avaient été portées par la majorité, souvent avec le soutien d'autres groupes, et que le Sénat a supprimées ou remises en question par des modifications substantielles de rédaction.
Ces dispositions constituent en effet les marqueurs de l'orientation que nous avons souhaité donner à ce projet de loi et sont le fruit d'un échange nourri avec les acteurs de l'écosystème numérique, mais également de la justice, de la recherche publique et privée ou de la protection de l'enfance.
En premier lieu, nous n'avons pas souhaité revenir sur l'équilibre que nous avions proposé entre l'exigence de protection des intérêts de l'enfant face aux traitements de ses données personnelles et l'adaptation de la législation à la réalité des pratiques numériques actuelles.
Le Sénat est revenu sur l'abaissement de 16 à 15 ans du seuil de consentement des mineurs au traitement de leurs données sur les réseaux sociaux, alors même que cette proposition avait fait l'objet, à l'Assemblée nationale, d'un très large consensus, en emportant l'adhésion – fait rare – de l'ensemble des groupes politiques. Je vous proposerai de rétablir cette disposition.
De même, il ne nous paraît pas acceptable de revenir sur le renforcement des capacités d'action des usagers face aux manquements à la loi, alors même que l'actualité ne cesse de révéler des manquements affectant la vie privée de centaines de milliers, voire de millions de personnes – je pense notamment au récent scandale impliquant Facebook et Cambridge analytica.
C'est pour cette raison que nous avons défendu en première lecture l'extension de l'action de groupe en matière de protection des données personnelles à la réparation des préjudices matériels et moraux. Je vous proposerai, par conséquent, de revenir sur les limitations d'entrée en vigueur ou de critères à remplir par les associations compétentes, adoptées par le Sénat. Sur ce sujet, devenu un enjeu de société, il y a urgence à légiférer, en pensant d'abord au citoyen.
Nous avions également longuement travaillé à une rédaction satisfaisante sur le recours aux algorithmes dans le cadre de décisions administratives. Elle apportait notamment les garanties nécessaires au respect des droits des personnes concernées ainsi qu'un renforcement de leur droit d'information sur les règles ou les critères applicables. Sur ce sujet, le Sénat a eu une position conservatrice peu compréhensible, visant à restreindre considérablement, et souvent en contradiction avec le règlement européen, le recours à ces outils d'aide à la décision.
J'ai une conviction sur ce sujet, que nous sommes nombreux à partager : ce n'est pas le recours aux algorithmes qui pose problème mais l'absence de transparence et de contrôle de la part des citoyens. Il ne s'agit, en effet, que d'outils au service des administrations qui souvent les aident à assurer un service public plus performant, tourné vers les besoins des citoyens, mais dont le fonctionnement doit faire l'objet d'une publication par défaut pour lever toute interrogation, voire tout soupçon.
La transparence et la mise en place de voies de recours effectives sont les meilleures garanties de régulation et permettent, par ailleurs, de n'entraver ni l'innovation dans les secteurs publics ni la modernisation et la simplification des politiques publiques. C'était la logique de la loi pour une République numérique et c'est celle qui a été défendue par le Président de la République lors de son discours de clôture de la journée AI for Humanity dans lequel il a exprimé le souhait que « l'État, pour ce qui le concerne, [rende] par défaut public le code de tous les algorithmes qu'il serait amené à utiliser au premier rang desquels […] celui de Parcoursup, parce que [...] c'est une pratique démocratique. »
Je vous proposerai, par conséquent, de revenir à la rédaction de l'Assemblée nationale en la matière, sous réserve du maintien d'une disposition, adoptée par le Sénat, qui assure la publicité de l'algorithme de Parcoursup. Peut-être évoluerons-nous sur sa rédaction d'ici à la séance pour en préciser les conditions mais c'est un point important qui a fait l'objet d'un engagement présidentiel.
Enfin, nous avions aussi élargi la possibilité de saisine de la Commission nationale de l'informatique et des libertés (CNIL) aux commissions permanentes des assemblées et aux présidents de groupes parlementaires. Le Sénat a supprimé cette disposition qui constitue pourtant un élément de revalorisation des moyens du Parlement et des droits de l'opposition. Je vous proposerai donc également d'y revenir. Il est essentiel que les parlementaires puissent disposer d'une expertise en la matière. Le numérique prend une place croissante dans les textes qui nous sont soumis. Nous le voyons bien depuis le début de la législature : projet de loi pour un État au service d'une société de confiance, projet de loi Elan (Évolution du logement, de l'aménagement et du numérique), plan très haut débit, proposition de loi relative à la lutte contre les fausses informations et présent texte.
Enfin, j'ai déposé des amendements visant à supprimer des dispositions que je considère comme contraires à l'esprit du règlement européen ou à d'autres dispositions de notre droit national et qui expliquent l'échec de notre CMP comme le fléchage du produit des amendes et des astreintes prononcées par la CNIL, qui est contraire à la loi organique relative aux lois de finances (LOLF), l'encadrement des traitements de données pénales par des organismes privés qui fragiliserait l'action des associations de victimes et d'aide à la réinsertion, la remise en cause de l'open data des décisions de justice qui deviendrait quasiment impossible à mettre en oeuvre, compte tenu des exigences posées par le Sénat en la matière ou, enfin, le durcissement des règles applicables aux fichiers de police et de justice, souvent en contradiction avec les termes de la directive européenne.
S'agissant des collectivités territoriales, certaines dispositions adoptées par le Sénat ne sont pas acceptables. Je pense notamment à la création d'une dotation de 170 millions d'euros ou à l'exemption d'astreintes et d'amendes administratives pour les collectivités, même en cas de manquements graves qui persisteraient malgré les mises en demeure du président de la CNIL. Les pénalités financières sont au coeur de l'équilibre du règlement général sur la protection des données (RGPD) et du changement de paradigme sur lequel il repose. D'un côté, il élimine les autorisations préalables et allège les démarches ; de l'autre, il augmente les sanctions financières comme unique levier de dissuasion. Nous ne pouvons pas déresponsabiliser des acteurs qui manipulent chaque jour des centaines de milliers de données, parfois très sensibles, comme la composition ou les revenus des foyers. Nous voulons, au contraire, aider ces acteurs à monter en compétences pour rehausser le niveau de protection globale des données personnelles et trouver des façons de les accompagner dans le processus de mise en conformité à leur utilisation.
D'autres dispositions du Sénat vont dans le bon sens et méritent, au contraire, d'être conservées. Je pense notamment à l'amélioration de l'information à destination des collectivités territoriales, à la possibilité de mutualiser des services d'archives ou encore de conventionner entre échelons de collectivités pour mettre en place un service commun dédié à la protection des données personnelles. Par ailleurs, le Sénat a amélioré la lisibilité de la gradation des peines en cas de manquement et renforcé les obligations incombant aux responsables du traitement des données qui devront être en mesure de démontrer qu'ils se conforment à leurs obligations en matière de consentement.
Si la CMP a échoué, des accords ont donc pu être trouvés avec le Sénat et ils seront respectés à la condition qu'ils s'inscrivent bien dans la double démarche qui avait recueilli dans notre assemblée un soutien allant au-delà des rangs de la majorité : clarification des règles qui découlent du nouveau cadre européen ; accompagnement des acteurs publics et privés, qui devront au cours des prochaines années profondément adapter leurs pratiques aux nouvelles obligations qui leur sont faites.
Je vous remercie, madame la rapporteure, pour votre intervention liminaire. Il me paraît en effet essentiel de rappeler les objectifs de ce texte : la protection des personnes dans un environnement tout-numérique et la responsabilisation de tous les acteurs, quels qu'ils soient.
J'aimerais revenir sur la position du Sénat au sujet des collectivités territoriales. Nous attendions autre chose, les sénateurs ayant souvent une position frappée au coin du bon sens en ce domaine. Nous pensions que leur attention se porterait surtout sur les modalités d'accompagnement des collectivités locales et sur les moyens de renforcer leur information. Or leur proposition phare a été d'exonérer lesdites collectivités des nouvelles obligations posées par le texte.
Nous considérons qu'aller dans cette voie serait une erreur majeure pour plusieurs raisons.
Tout d'abord, les collectivités locales sont pour la plupart des structures qui comptent plus de 250 agents. Pourquoi les sortir du dispositif alors qu'elles en sont partie intégrante dans nombre de pays européens ?
Ensuite, il nous semble que la meilleure manière de protéger les maires et les élus locaux est de faire en sorte qu'un délégué chargé de la protection des données personnelles soit nommé dans les collectivités comptant plus de 250 agents. C'est une manière forte de responsabiliser les agents à tous les niveaux et d'éviter de placer les maires dans des situations où ils pourraient être considérés comme pénalement responsables.
Enfin, les collectivités territoriales gèrent des données sensibles que certains peuvent être tentés d'exploiter commercialement. Combien de fois les maires n'ont-ils pas été approchés par des mutuelles désireuses de mettre la main sur certains fichiers pour faire de la prospection auprès des agents ? Et puis, il y a l'aspect politique. Nous avons connu par le passé des dérives venant d'acteurs politiques qui auraient bien voulu mettre en place tel ou tel fichier pour organiser tel ou tel aspect des services publics de leur collectivité. Cela implique d'être encore plus vigilants.
Il me semble bon de rappeler ces divers éléments car, curieusement, le communiqué de presse que le Sénat a publié après la CMP évoque les algorithmes et l'âge du consentement des mineurs mais pas les collectivités territoriales alors qu'elles constituent la pierre d'achoppement avec l'Assemblée.
Bref, si nous pouvons accepter certains des ajouts du Sénat, nous ne pouvons le suivre dans sa volonté d'exonérer les collectivités territoriales de certaines obligations du projet de loi. Ce ne serait pas responsable et cela pourrait avoir des conséquences extrêmement préoccupantes.
Sachez que je regrette l'échec de la CMP. Nous pouvons déplorer quelques maladresses de la part du Sénat mais aussi une absence de volonté de la part de la majorité de l'Assemblée nationale de trouver des arrangements qui semblaient pourtant possibles la veille ou l'avant-veille. Sans vouloir faire un jugement à la Salomon, il me semble que les torts sont partagés.
La place des collectivités locales pose effectivement problème. Qu'on écarte ou pas les préconisations du Sénat, des questions demeureront sur l'accompagnement, sur la formation ou sur la responsabilisation, notamment des plus petites d'entre elles, d'où l'intérêt de la mutualisation des services numériques entre collectivités via les établissements publics de coopération intercommunale (EPCI). Tout n'est pas à rejeter dans les modifications du Sénat, loin s'en faut. Et je compte sur l'ouverture d'esprit dont vous êtes familière, madame la rapporteure, pour ne pas mettre à mal l'équilibre obtenu sur certains points.
Je partage certaines de vos préoccupations. Il n'est pas question de revenir sur l'extension de l'action de groupe – je défends cette disposition depuis suffisamment d'années pour ne pas y renoncer maintenant. Il n'est pas question non plus de revenir sur l'utilisation des algorithmes dans les administrations car ce qui est en cause, comme vous le disiez, c'est la transparence et non pas le recours aux algorithmes en tant que tel. Nous devons aussi maintenir la possibilité pour le Parlement de saisir la CNIL et de profiter de ses compétences larges. En matière de consentement des mineurs, fixer le seuil à quinze ans me semble être une sage décision, même si le débat n'est pas totalement tranché.
Je forme le souhait que nous aboutissions à un texte équilibré. Rappelons que notre temps est compté : le RGPD entrera en vigueur le 25 mai 2018. Or nos travaux vont être interrompus quelque temps et leur organisation sera affectée par les jours fériés du mois de mai.
J'ai animé ce matin une réunion avec des patrons de petites et moyennes entreprises (PME) sur la RGPD. Beaucoup de questions ont porté sur les collectivités territoriales. Pourquoi appliquerait-on ce règlement aux entreprises et pas aux collectivités alors même qu'elles disposent de très nombreuses données personnelles ? Ce règlement européen doit être appliqué de manière uniforme et il serait très mal vu par les entrepreneurs que les collectivités soient exonérées de leurs responsabilités qu'il s'agisse du traitement des données ou des sanctions en cas de manquements graves.
Pour le reste, nous suivrons l'avis de Mme la rapporteure sur les modifications à apporter au texte du Sénat.
Beaucoup a été dit sur ce texte. Un article récemment publié par Le Monde l'indiquait : « selon une étude menée par l'éditeur de logiciels Senzing en janvier, moins de la moitié des entreprises européennes étaient considérées comme étant “prêtes”, et en France moins d'un cinquième des entreprises se disaient très confiantes face aux obligations du RGPD ». Le débat reste vif quant à la place des algorithmes dans les administrations et l'âge du consentement au traitement des données, ce sont là des questions essentielles.
Pensez-vous cependant que les travaux de nos deux chambres permettront l'instauration de dispositifs permettant effectivement la mise en oeuvre du RGPD ?
Je reviens en quelques mots sur la commission mixte paritaire. Pour notre part, nous considérons que le Sénat a introduit des éléments positifs, que nous avions d'ailleurs proposés. Et, alors que nous disions nous-mêmes qu'il y avait une logique politique dans ce texte, notre collègue sénateur Loïc Hervé a également très clairement indiqué, notamment au cours de la discussion générale, que ce projet de loi était non technique mais politique. Un certain nombre de propositions d'ajouts ont été faites : le renforcement des protections complémentaires, une charte de déontologie applicable aux délégués à la protection des données personnelles des administrations publiques établies par la CNIL, un régime d'autorisation préalable, un certain nombre de limitations de l'utilisation du traitement des données pour les données où la qualité de militaire apparaît. Bref, cela nous semblait aller dans le bon sens, et c'est pourquoi nous présenterons à nouveau quelques amendements visant à améliorer le texte.
Certes, le temps presse, mais nous aurions pu gagner un peu de temps ! Le groupe des sénateurs de La République en Marche a voté en faveur du texte sénatorial, qui comportait précisément des avancées refusées par le groupe La République en Marche de l'Assemblée nationale et que nous défendions. Peut-être un examen plus attentif des amendements aurait-il permis d'éviter ces retards. En tout cas, notre souci est d'améliorer ce texte en renforçant la protection des données. La logique politique que nous défendons est que cette protection doit s'exercer non pas a posteriori mais a priori, grâce à un renforcement du rôle de la CNIL.
Nous sommes saisis de 95 amendements dont 74 de la rapporteure parmi lesquels 40 d'entre eux visent à apporter des modifications rédactionnelles ou de coordination et les autres à revenir sur des modifications par le Sénat du texte que nous avions adopté.
La commission en vient à l'examen des articles.
TITRE IER
DISPOSITIONS D'ADAPTATION COMMUNES AU RÈGLEMENT (UE) 2016679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 ET À LA DIRECTIVE (UE) 2016680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016
Chapitre Ier Dispositions relatives à la commission nationale de l'informatique et des libertés
Article 1er (art. 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Missions de la Commission nationale de l'informatique et des libertés
La commission adopte l'amendement rédactionnel CL48 de la rapporteure.
Puis elle se saisit de l'amendement CL49 de la rapporteure.
Cet amendement vise à supprimer la mention d'une mission de certification, redondante avec ce qui est déjà prévu par le présent article.
La commission adopte l'amendement.
Elle examine ensuite l'amendement CL50 de la rapporteure.
La commission adopte l'amendement.
Puis elle se saisit de l'amendement CL51 de la rapporteure.
La commission adopte l'amendement.
Puis elle adopte l'article 1er modifié.
Article 1er bis (supprimé) (art. 13 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Saisine de la CNIL par les présidents des assemblées parlementaires
La commission maintient la suppression de l'article 1er bis.
Article 2 (art. 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Qualification des personnalités désignées par le Parlement
La commission se saisit de l'amendement CL52 de la rapporteure.
Nous avons longuement débattu de cet amendement, et en commission et en séance. Je propose de rendre cumulatives les conditions de compétence des personnalités qualifiées membres de la CNIL. Cette commission va s'apparenter en effet, de plus en plus, à un tribunal, puisqu'il lui reviendra d'infliger de lourdes pénalités financières aux entreprises. Il est important que ces personnalités qualifiées comprennent les enjeux du numérique, qu'elles comprennent le métier, qu'elles aient elles-mêmes manipulé des données. Les autres membres ont, pour leur part, un profil plutôt juridique, puisqu'ils sont issus du Conseil d'État, de la Cour de cassation, de la Cour des comptes et du Conseil économique, social et environnemental.
Nous en avons longuement débattu et moi-même j'ai un peu varié sur le sujet. Je m'en tiens cependant au dernier point de vue que j'ai exprimé. En imposant que les personnalités qualifiées aient à la fois une connaissance du numérique et une connaissance des questions touchant aux libertés individuelles, nous allons réduire le champ des possibles. La CNIL n'est pourtant pas simplement une autorité de sanction. Certes, la formation restreinte est une autorité de sanction qui s'apparente de plus en plus, dirons-nous pour faire simple, à un tribunal, mais le collège, qui se réunit régulièrement, a besoin de compétences plus larges. Je crains qu'en imposant le cumul de ces compétences on ne s'enferme alors qu'il faudrait plutôt s'ouvrir. N'oublions pas les enjeux éthiques et la mission de réflexion de la CNIL.
Il est intéressant que des profils différents et variés réfléchissent sur le numérique, mais plutôt dans le cadre d'une instance comme le Conseil national du numérique (CNNum), dont la réflexion est plus prospective, plus générale. Les compétences requises des membres de la CNIL sont plus étroitement dictées par les missions qui lui sont assignées par la loi « Informatiques et libertés » et désormais par le RGPD.
En ce qui concerne les missions de la CNIL, vos propos sont en contradiction avec la loi pour une République numérique adoptée il n'y a pas si longtemps, madame la rapporteure.
Les membres du groupe du Mouvement Démocrate et apparentés ont déjà dit en séance que la proposition de M. Gosselin leur convenait. Nous ne sommes donc pas favorables à cet amendement. Exiger que les personnalités qualifiées aient à la fois une connaissance du numérique et une connaissance des questions touchant aux libertés individuelles pose un problème d'ouverture à des profils différents. Nous nous en tiendrons à la position que nous avions exprimée, comme un certain nombre d'autres députés de la majorité.
Il me semble quand même qu'il est très important que les membres de la CNIL, pour prendre les décisions qui incombent à celle-ci, aient des compétences non seulement juridiques mais aussi numériques, étant entendu que ces deux types de compétences ne sont pas exclusifs d'autres. Si quelqu'un, en plus, a des compétences philosophiques, ethnographiques, poétiques, cela nous convient tout à fait ! Les compétences juridiques et numériques sont en tout cas une nécessité.
La commission adopte l'amendement.
En conséquence, l'article 2 est ainsi rédigé, et les amendements CL72 et CL73 tombent.
Article 2 bis (art. 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Délégation de certaines missions au secrétaire général de la CNIL
Elle examine ensuite l'amendement CL53 de la rapporteure.
La commission adopte l'amendement.
Puis elle adopte l'article 2 bis modifié.
Article 4 (art. 44 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Moyens de contrôle des agents de la CNIL
La commission adopte l'article 4 sans modification.
Article 5 (art. 49, 49 bis et 49-1 à 49-5 [nouveaux] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Coopération entre les autorités de contrôle européennes
Elle examine ensuite l'amendement CL56 de la rapporteure.
La commission adopte l'amendement.
Puis elle adopte l'article 5 modifié.
Article 6 (art. 45 à 48 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et 226-16 du code pénal) : Mesures correctrices et sanctions
La commission se saisit de l'amendement CL74 de Mme Danièle Obono.
La compétence d'établir des sanctions pécuniaires octroyée à la CNIL prend de nouvelles dimensions à la suite de la nouvelle répartition des compétences organisée par ce projet de loi. La CNIL voit son rôle d'organe sanctionnant devenir l'une de ses principales missions. L'octroi d'un pouvoir de sanction doit être accompagné d'un strict encadrement des motifs légaux de la sanction, afin qu'une protection optimale des libertés fondamentales de tous et toutes soit assurée. Ainsi, cet amendement dessine les conditions du bien-fondé légal de la sanction. Cela permettrait non seulement à la CNIL mais également aux organes juridictionnels de même qu'aux citoyens et citoyennes, d'évaluer au plus juste le sens et donc le fondement de la sanction.
Nous avons déjà eu cette discussion. Il est bien précisé, à de nombreuses reprises, dans le RGPD, que les mesures prises doivent être appropriées, nécessaires et proportionnées. Fixer une grille d'astreinte serait aller un peu trop loin, et il faut laisser une marge de manoeuvre à la CNIL pour décider des sanctions qu'elle doit prononcer.
La commission rejette l'amendement.
Puis elle adopte l'amendement rédactionnel CL58 de la rapporteure.
Elle se saisit ensuite de l'amendement CL76 de Mme Danièle Obono.
Le législateur européen n'ayant pas, en l'état du règlement RGPD, épuisé sa compétence sur le cas précis d'une récidive, nous pouvons tout à fait décider de préciser et compléter les dispositions européennes. Tel est le sens de cet amendement, qui permettra à la CNIL de jouer un rôle plus dissuasif.
Les montants fixés par le RGPD nous semblent suffisamment dissuasifs. Le montant de l'amende encourue était, il y a quelques années, de 150 000 euros. Avec le règlement, il passe à 20 millions d'euros ou 4 % du chiffre d'affaires.
Peut-être est-ce dissuasif pour certaines entreprises, mais l'actualité nous livre quelques révélations sur les géants du net. Les sanctions encourues devraient donc être revues à la hausse pour que le pouvoir de sanction conféré ait quelque réalité.
La commission rejette l'amendement.
Elle examine ensuite l'amendement CL59 de la rapporteure.
La commission adopte l'amendement.
Puis elle adopte l'amendement rédactionnel CL60 de la rapporteure.
Elle se saisit ensuite de l'amendement CL61 de la rapporteure.
La commission adopte l'amendement.
Elle en vient à l'amendement CL62 de la rapporteure.
La commission adopte l'amendement.
Elle adopte ensuite successivement l'amendement de coordination CL63 et l'amendement de précision CL64, tous deux de la rapporteure.
Puis elle adopte l'article 6 modifié.
Article 6 bis (nouveau) : Charte de déontologie pour les fonctions de délégué à la protection des données dans les administrations publiques
La commission examine l'amendement CL65 de la rapporteure.
Cet amendement, qui a pour objet de supprimer l'article 6 bis introduit par le Sénat, vise à revenir au texte de l'Assemblée nationale.
La commission adopte l'amendement.
En conséquence, l'article 6 bis est supprimé.
Chapitre II Dispositions relatives à certaines catégories de données
Article 7 (art. 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Traitement des données « sensibles »
La commission adopte l'amendement rédactionnel CL68 de la rapporteure.
Puis elle se saisit de l'amendement CL75 de M. Ugo Bernalicis.
Il nous importe de préserver les libertés individuelles. C'est pourquoi nous proposons d'interdire le profilage privé à des fins lucratives. Il s'agit de protéger la partie la plus faible. Le constat est double : d'une part, les pratiques commerciales de récolte des données, entre absence d'information et traitement automatisé, ne respectent pas le consentement des personnes ; d'autre part, l'usage des données individuelles constitue une création de richesses à l'insu des utilisateurs et des utilisatrices, par l'alimentation de bases de données. Nous proposons donc de créer un cadre réellement protecteur de nos droits et libertés qui incitera les acteurs français et européens du numérique à investir dans des modèles plus vertueux.
Dans la perspective du RGPD, il ne s'agit pas d'interdire l'utilisation de ces technologies, mais de faire en sorte qu'il y ait obligatoirement un consentement, ce qui permettra d'éviter des scandales tels que celui de « Cambridge Analytica ». Il me semble que cet encadrement suffira.
La commission rejette l'amendement.
Puis elle adopte l'article 7 modifié.
TITRE II
MARGES DE MANoeUVRE PERMISES PAR LE RÈGLEMENT (UE) 2016679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 9546CE
Article 8A (nouveau) (art. 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Champ de traitement des données à caractère personnel soumis à la loi « Informatique et libertés »
La commission adopte l'article 8 A sans modification.
Chapitre II Dispositions relatives à la simplification des formalités préalables à la mise en oeuvre des traitements
Article 9 (art. 22 à 25 et 27 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Suppression des formalités préalables, sauf pour certains traitements de données personnelles particulièrement sensibles
La commission examine l'amendement CL2 de la rapporteure.
La commission adopte l'amendement.
Elle adopte ensuite l'article 9 modifié.
Chapitre III Obligations incombant aux responsables de traitement et à leurs sous-traitants
Article 10 bis (nouveau) (art. 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Inclusion du chiffrement de bout en bout dans le champ de l'obligation de sécurité des responsables de traitements
La commission est saisie de l'amendement CL92 du Gouvernement.
L'amendement vise à supprimer cet article, adopté à l'initiative du Sénat pour obliger le chiffrement de bout en bout. Je suis favorable à l'utilisation de ces technologies, mais l'obligation prévue me paraît excessive par rapport à la rédaction de l'article 32 du RGPD. Par ailleurs, la loi doit rester technologiquement neutre : le chiffrement est une des technologies susceptibles d'être utilisées pour garantir la sécurité, mais il en existe bien d'autres et des évolutions peuvent avoir lieu. Cette disposition étant trop restrictive, je donne un avis favorable à l'amendement.
La commission adopte l'amendement.
En conséquence, l'article 10 bis est supprimé.
Chapitre IV Dispositions relatives à certaines catégories particulières de traitement
Article 11 (art. 9 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, L. 111-13 du code de l'organisation judiciaire et L. 10 du code de justice administrative) : Traitements de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes
La commission examine l'amendement CL93 du Gouvernement.
Cet amendement vise à rétablir la rédaction adoptée par notre assemblée en ce qui concerne l'article 9 de la loi informatique et libertés.
La commission adopte l'amendement.
Elle est ensuite saisie de l'amendement CL3 de la rapporteure.
La commission adopte l'amendement.
Puis elle adopte l'amendement CL4, de précision, de la rapporteure.
Elle examine ensuite l'amendement CL5 de la rapporteure.
Je vous propose de supprimer les alinéas 13 à 16 de l'article 11, une fois encore afin de revenir au texte adopté par notre assemblée en première lecture.
La commission adopte l'amendement.
Puis elle adopte l'article 11 modifié.
Article 12 (art. 36 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et L. 1461-1 du code de la santé publique) : Traitement de données à des fins archivistiques
La commission adopte l'article 12 sans modification.
Article 12 bis (nouveau) (art. L. 212-4-1 du code du patrimoine) : Extension de la possibilité de mutualiser la conservation d'archives numériques
La commission adopte l'article 12 bis sans modification.
Article 13 (Chapitre IX de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, L. 1121-1, L. 1123-7, L. 1124-1, L. 1461-7 et L. 6113-7 du code de la santé publique) : Traitements des données à caractère personnel dans le domaine de la santé
La commission examine l'amendement CL66 de la rapporteure.
La commission adopte l'amendement.
Puis elle adopte successivement les amendements de la rapporteure CL69, rédactionnel, et CL67, de coordination.
Elle en vient ensuite à l'amendement CL70 de la rapporteure.
Le Sénat a adopté un amendement du Gouvernement créant un comité d'audit du système national des données de santé. Je vous propose de rendre obligatoire la présence du président de la CNIL ou de son représentant dans ce comité, à titre d'observateur afin que cette autorité ne soit pas tenue à l'écart d'un contrôle qui entre dans ses missions fondamentales.
La commission adopte l'amendement.
Puis elle adopte successivement les amendements rédactionnels CL87 et CL86 de la rapporteure.
Elle adopte ensuite l'article 13 modifié.
Article 13 ter (nouveau) (art. L. 4123-9-1 du code de la défense, 226-16 et 226-17-1 du code pénal et 117 de la loi n° 2016 731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale) : Régime applicable aux fichiers de données dans lesquelles figure la mention de la qualité de militaire
La commission adopte successivement les amendements CL85, rédactionnel, et CL91, de coordination, de la rapporteure.
Puis la commission adopte l'article 13 ter modifié.
Chapitre V Dispositions particulières relatives aux droits des personnes concernées
Article 14 A (supprimé) (art. 7 bis [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Consentement des mineurs
La commission examine les amendements identiques CL6 de la rapporteure et CL1 de M. Philippe Gosselin.
Nous en avons déjà parlé lors de la discussion générale : je vous propose de rétablir à quinze ans l'âge de la majorité numérique. C'est un sujet qui a fait l'objet d'un large consensus dans notre assemblée.
L'amendement CL1 a le même objet. L'ensemble des groupes a en effet retenu l'âge de 15 ans. Pour une fois qu'il existe un consensus, suivons-le.
Il y a souvent des consensus à la commission des lois. C'en est un de plus : ne nous privons pas.
La commission adopte ces amendements.
En conséquence, l'article 14 A est ainsi rétabli.
Article 14 (art. 10 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, L. 311-3-1 du code des relations entre le public et l'administration et L. 612-3 du code de l'éducation) : Décisions administratives automatisées
La commission examine l'amendement CL84 de la rapporteure.
Mon amendement vise à rétablir la rédaction de l'alinéa 4 telle qu'elle a été adoptée par notre assemblée.
La commission adopte l'amendement.
Elle est ensuite saisie de l'amendement CL83 de la rapporteure.
La commission adopte l'amendement.
Puis elle examine l'amendement CL78 de M. Ugo Bernalicis.
L'article 14 prévoit un recours accru au profilage administratif. Dans l'intérêt des droits et libertés numériques et afin d'éviter les biais discriminants, nous estimons que les algorithmes utilisés pour la prise des décisions publiques doivent nécessairement être soumis à un contrôle citoyen, avec les équipes d'inspection de la CNIL. Cet amendement permettrait à nos concitoyens de prendre connaissance de certains algorithmes et de les évaluer directement, en particulier celui d'Admission post-bac (APB) – mais on peut aussi penser à ceux de Pôle emploi. Nous nous inspirons notamment des constats et des conclusions du rapport sur les modalités de régulation des algorithmes de traitement des contenus qui a été remis au secrétaire d'État en charge du numérique en mai 2016. Cette mesure complétera une première ouverture importante, issue de la loi sur la République numérique, qui est le droit d'accès et d'information. Notre amendement permettra de renforcer la citoyenneté numérique en encadrant l'utilisation des algorithmes. Nous espérons qu'il y aura un consensus sur ce sujet, dans la lignée des travaux du Sénat.
Je suis entièrement d'accord avec vos propos, mais cette disposition ne me paraît pas nécessaire. La CNIL réalise déjà ce travail sur les algorithmes – elle l'a notamment fait en ce qui concerne APB. Par ailleurs, la transparence permettra à de nombreux acteurs de se saisir du sujet, au-delà de la CNIL, – à l'instar de l'Institut national de recherche en informatique et en automatique (INRIA) et de nombreuses associations. Je donne donc un avis défavorable.
La commission rejette l'amendement.
Elle examine ensuite l'amendement CL81 de la rapporteure.
Je vous propose de revenir à la rédaction adoptée par notre assemblée, en supprimant l'alinéa 10.
La commission adopte l'amendement.
Puis elle adopte l'article 14 modifié.
Article 14 bis A (nouveau) (art. L. 121-4-2 [nouveau] du code de l'éducation) : Transparence du traitement des données scolaires
La commission est saisie de l'amendement CL7 de la rapporteure.
Nous avons débattu en première lecture de l'importance de la protection des données scolaires, et un dialogue a été engagé avec le Gouvernement afin de trouver le bon dispositif dans ce domaine. Je suis heureuse de vous dire que nous sommes parvenus à un accord : il s'agit de mettre à la disposition du public le registre prévu par le RGPD en ce qui concerne les traitements mis en oeuvre par les établissements publics d'enseignement scolaire.
Sur ce point important, la discussion qui a eu lieu avec le Gouvernement nous satisfait. Nous voterons donc cet amendement.
La commission adopte l'amendement.
Puis elle adopte l'article 14 bis A modifié.
Article 14 bis (art. 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Information des mineurs
La commission adopte l'amendement de cohérence CL8 de la rapporteure.
Elle adopte ensuite l'article 14 bis modifié.
Chapitre VI Voies de recours
Article 16 A (art. 43 ter de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Action de groupe en réparation des préjudices matériels et moraux
La commission adopte successivement les amendements rédactionnels CL9 et CL10 de la rapporteure.
Puis elle examine l'amendement CL11 de la rapporteure.
Je vous propose de revenir à la rédaction adoptée par notre assemblée pour l'entrée en vigueur des actions de groupe en réparation des préjudices subis en matière de données personnelles.
La commission adopte l'amendement.
Puis elle est saisie de l'amendement CL12 de la rapporteure.
La commission adopte l'amendement.
Puis elle adopte l'article 16 A modifié.
Article 16 (art. 43 quater – [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Introduction d'une possibilité de mandater des associations pour exercer ses droits aux recours
La commission adopte l'amendement CL13, de cohérence, de la rapporteure.
Puis elle adopte l'article 16 modifié.
Article 17 (art. 43 quinquies [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Nouvelle voie de recours en cas de transferts internationaux de données
La commission adopte l'article 17 sans modification.
Article 17 bis (nouveau) : Obligation pour le responsable du traitement d'être en mesure de démontrer les mesures prises pour se conformer aux obligations en matière de consentement
La commission examine l'amendement CL89 de M. Éric Bothorel.
Nous proposons de rompre avec la logique du consentement présumé de l'utilisateur d'un terminal mobile, à laquelle nous préférons celle du consentement effectif : on pourra choisir librement son service de communication en ligne par un acte positif. Les éditeurs d'applications peuvent signer des accords avec les fabricants de smartphones afin de bénéficier d'une exposition préférentielle, notamment grâce à un affichage par défaut. L'objectif de l'amendement n'est pas d'interdire la conclusion de ce type d'accords, mais d'empêcher qu'ils soient assortis d'une clause d'exclusivité empêchant le fabricant ou l'opérateur de proposer des alternatives à l'application configurée par défaut. Concrètement, chaque éditeur pourra demander que son application soit configurée par défaut, mais on ne pourra pas interdire que les alternatives soient proposées à l'utilisateur – certains éditeurs peuvent être plus protecteurs pour les données personnelles. Pour résumer, chacun pourra conclure des accords d'exposition préférentielle mais sans jamais avoir la possibilité d'évincer la concurrence. Notre amendement ne porte pas atteinte à la liberté contractuelle, mais cherche à ce qu'elle ne soit pas exercée au détriment de l'objectif de protection des données personnelles, qui passe par le libre consentement de l'utilisateur et donc par le libre choix des applications.
Nous avons déjà eu plusieurs discussions sur ce sujet et celle d'aujourd'hui n'est probablement pas la dernière… Je veux redire mon soutien à ce que vous proposez, tout en soulignant que nous devons traiter la question dans le cadre d'une réflexion plus large sur la concurrence loyale dans l'industrie du numérique : il faut assurer le respect du droit de la concurrence dans ce domaine, tout en prenant en compte son articulation avec la politique des données, mais aussi avec d'autres types de dispositions telles que la commande publique, les obligations de transparence et la régulation des plateformes et des algorithmes. J'ai engagé un dialogue avec le Gouvernement sur la manière dont nous pourrions mener une réflexion d'ensemble dans un autre cadre. Je vous demande donc de retirer votre amendement afin que nous puissions continuer à échanger d'ici à l'examen du texte en séance.
Je prends note de l'optimisme de la rapporteure mais je rappelle que le texte sera examiné en séance jeudi matin – or nous sommes déjà mardi et il est dix-neuf heures quinze… Je veux bien que le Gouvernement avance et que nos débats soient fructueux mais je doute tout de même que rien de sérieux ne puisse être fait d'ici à jeudi.
L'amendement de nos collègues tourne en fait autour de la question de l'abus de position dominante, qu'on peut bien sûr qualifier, ou non, juridiquement. Au-delà, il pose la vraie question du libre choix et du consentement éclairé. Or il existe aujourd'hui des contrats d'adhésion léonins.
Aussi, j'attends pour jeudi, à défaut d'un texte qui ne pourra nous être présenté avant – je ne suis pas naïf –, des engagements précis du Gouvernement, avec l'appui de la rapporteure et de la majorité, pour que cette question, qui se pose depuis trop longtemps, ne soit pas renvoyée aux calendes grecques.
Le paradoxe veut qu'il y ait un accord général sur la question et que, pour l'instant, nous n'ayons pas réussi à trouver les mots grâce auxquels nous ne serions pas juridiquement blackboulés. Il reste quarante-huit heures, certes…
En effet. Ce n'est pas faute des administrateurs ni du Gouvernement ni non plus de nos collègues auteurs de l'amendement d'avoir essayé de trouver le bon véhicule et les bons mots. J'espère encore que nous allons y parvenir d'autant que, je le répète, il y a un consensus pour que nous avancions.
Nous partageons tous ce qui a été dit sur le fond et sur le problème que pose la forme. Soit nous parvenons à trouver la bonne formulation d'ici à jeudi et c'est tant mieux car nous la soutiendrons tous ; soit nous n'y arrivons pas et alors tâchons de trouver un nouveau vecteur. Si nous adoptions l'amendement tel quel, le texte s'en trouverait juridiquement fragilisé. Le retrait est donc sans doute la meilleure solution pour peu que la rapporteure et le Gouvernement s'engagent à proposer une nouvelle formulation jeudi matin en séance.
Comme nos collègues l'ont souligné, il y a un consensus sur le fond pour trouver un bon équilibre, sur des questions très sensibles, entre la liberté de l'entreprise et celle du consommateur. Nous nous étions d'ailleurs exprimés sur le sujet au cours de la première lecture en séance.
Nous allons dans l'immédiat retirer l'amendement mais qu'il soit clair qu'il se réincarnera en séance au cours des trente-six prochaines heures avec un nouveau choix de mots. Nous aurons d'autres sujets de discussion, à l'avenir, à n'en pas douter, sur l'intelligence artificielle par exemple, où le choix des mots sera beaucoup plus délicat.
Je ne prise ni le péril ni la gloire et face au dilemme cornélien auquel vous me soumettez, soit maintenir un amendement qui recueille le consensus de nos collègues mais contre l'avis de la rapporteure, il est en effet sage d'envisager son retrait. Pour tout vous dire, nous travaillons déjà à une nouvelle rédaction à laquelle l'échec de la commission mixte paritaire (CMP) et l'accélération du calendrier ne nous ont pas permis d'aboutir.
Nous présenterons donc un nouvel amendement en séance. L'objectif est raisonnable compte tenu de l'enjeu.
Je m'engage personnellement à travailler sur la concurrence loyale dans l'industrie du numérique, sujet beaucoup plus large que ce cas particulier.
L'amendement est retiré.
La commission adopte l'article 17 bis sans modification.
Article 17 ter (nouveau) (art. L. 420-2-3 [nouveau], L. 420-3, L. 420-4, L. 450-5, L. 462-3, L. 462-5, L. 462-6, L. 464-2 et L. 464-9 du code de commerce) : Prohibition de l'exploitation abusive d'une position dominante sur le marché des services de communication au public en ligne en subordonnant la vente d'un terminal à l'achat d'un service
Suivant l'avis favorable de la rapporteur, la commission adopte l'amendement CL94 du Gouvernement visant à supprimer l'article.
En conséquence, l'article 17 ter est supprimé.
TITRE III
DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D'ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D'EXÉCUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES ET ABROGEANT LA DÉCISION-CADRE 2008977JAI DU CONSEIL
Article 18 (art. 32, 41 et 42 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Création d'un droit d'information de la personne et suppression du caractère indirect des droits d'accès, de rectification, d'effacement et de limitation
La commission examine l'amendement CL14 de la rapporteure.
La commission adopte l'amendement.
Puis elle adopte l'article 18 modifié.
Article 19
La commission adopte successivement les amendements CL16, de précision, et les amendements CL17 et CL18, rédactionnels, de la rapporteure.
Puis, suivant l'avis favorable de la rapporteure, elle adopte l'amendement CL95 du Gouvernement, visant à supprimer l'alinéa 12.
La commission adopte ensuite, successivement, les amendements rédactionnels CL21, CL23, et CL22, puis l'amendement de précision CL25, de la rapporteure.
Suivant l'avis favorable de la rapporteure, elle adopte l'amendement CL96 du Gouvernement, visant à rétablir le texte de l'Assemblée sur l'obligation de distinction des données fondées sur des faits et celles fondées sur des appréciations.
La commission adopte ensuite l'amendement de cohérence CL104, de la rapporteure.
Suivant l'avis favorable de la rapporteure, elle adopte successivement les amendements CL97 et CL98 du Gouvernement, visant à rétablir la rédaction de l'Assemblée en première lecture.
Elle adopte ensuite, successivement, les amendements de la rapporteure CL26, de précision, CL27, rédactionnel, CL28, de précision, CL29, rédactionnel, CL15, visant à revenir au texte de l'Assemblée, CL30 et CL31, de précision, et CL32, rédactionnel.
Suivant l'avis favorable de la rapporteure, la commission adopte l'amendement CL99 du Gouvernement, visant à revenir à la rédaction de l'Assemblée.
Puis elle adopte successivement les amendements rédactionnels de la rapporteure CL33, CL34, CL35 et CL36.
Suivant l'avis favorable de la rapporteure, elle adopte l'amendement CL100 du Gouvernement, qui vise à revenir au texte de l'Assemblée.
Puis elle adopte successivement les amendements rédactionnels de la rapporteure CL37, CL38, CL40, CL39, CL41, CL42, CL43 et CL44.
Enfin, elle adopte l'article 19 modifié.
TITRE III BIS
DISPOSITIONS VISANT À FACILITER L'APPLICATION DES RÈGLES RELATIVES À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL PAR LES COLLECTIVITÉS TERRITORIALES
Article 19 bis (nouveau) (art. L. 2335-17 [nouveau], L. 3662-4, L. 5211-35-3 [nouveau], L. 5214-23, L. 5215-32 et L. 5216-8 du code général des collectivités territoriales) : Dotation communale et intercommunale pour la protection des données à caractère personnel
La commission examine l'amendement CL80 de la rapporteure.
Le présent amendement vise à supprimer l'article, introduit par le Sénat, qui vise à créer une dotation de 170 millions d'euros pour les collectivités territoriales.
En première lecture, et de façon consensuelle, nous avions appelé l'attention du Gouvernement et des responsables au sens large sur la nécessité d'être bienveillants à l'égard des petites entreprises, le RGPD impliquant des sujétions particulières et inversant un processus à l'oeuvre jusqu'à présent. Ma remarque vaut également pour les petites collectivités et en particulier pour les plus petites d'entre elles : les communes rurales.
J'entends bien la volonté de supprimer la dotation prévue à l'article 19 bis mais je souhaite que le Gouvernement et la majorité prennent néanmoins en compte la question essentielle posée ici par le Sénat.
La situation est similaire pour les très petites entreprises (TPE) et les petites collectivités pour lesquelles, à moins de fichiers particulièrement sensibles, il n'y aura pas de contraintes excessives. Il en ira en revanche différemment de celles employant plus de 250 agents qui, en général, ont déjà un service informatique de cinq ou six personnes. De nombreuses collectivités ont d'ailleurs anticipé les évolutions à venir en nommant une personne responsable des fichiers en question et un délégué à la protection des données personnelles.
Si l'on y ajoute la possibilité de la mutualisation – prévue par mon amendement CL88 rectifié à l'article 19 ter que je retirerai pour des raisons rédactionnelles mais que je proposerai à nouveau en séance dans trente-six heures, on peut tout à fait imaginer que le dispositif soit administré au niveau de l'intercommunalité au bénéfice de l'ensemble des communes, petites ou grandes. Or charger quelqu'un de la protection des données personnelles, qui aidera élus et agents publics dans leur appréhension du numérique nous semble être une perspective intéressante.
Le Sénat a eu la main un peu lourde et nous sommes favorables à la suppression de l'article. Reste que les collectivités doivent intégrer la philosophie du texte indépendamment de l'effet d'aubaine que créerait le versement d'un financement : le RGPD implique des pratiques qui doivent être quotidiennes.
Je rappelle que nous avons retenu plusieurs propositions du Sénat en faveur des collectivités territoriales. Il conviendra par ailleurs, au moment de l'examen du projet de loi de finances, de débattre des moyens attribués à la CNIL. La majorité y veillera en tout cas de près.
Puisque vous évoquez les moyens de la CNIL, madame la rapporteure, je saisis cette occasion pour rappeler que la réforme ne se fait pas à droit constant. Quand on regarde ce qui se fait du côté de nos voisins allemands et britanniques, on se rend bien compte que nous sommes très loin du compte – quelques petites centaines d'agents chez nous, contre environ un millier pour les États que j'ai cités –, et ce n'est pas avec les quelques postes – un ou deux – qui vont être créés que la CNIL pourra assumer ses fonctions. La commission doit être en mesure d'assumer ses nouvelles contraintes et obligations : soyons-en les garants. C'est un vrai sujet car, si nous n'y prenons garde, la chute pourrait être vertigineuse.
Les besoins exprimés par la CNIL paraissent assez raisonnables. Le Gouvernement examine dans quelle mesure ils pourraient être satisfaits dès le budget 2019, mais nous sommes effectivement loin des chiffres que vous avez cités pour l'Allemagne. La CNIL semble avoir l'habitude d'une certaine productivité et ne s'inscrit pas du tout dans une logique inflationniste : elle souhaite simplement conduire ses missions dans de bonnes conditions.
Effectivement, il ne s'agit que de quelques dizaines de postes, mais encore faut-il que le besoin exprimé soit entendu, ce qui n'est pas évident dans le cadre budgétaire actuel.
La commission adopte l'amendement.
En conséquence, l'article 19 bis est supprimé.
Article 19 ter (nouveau) (art. L. 5111-1 et L. 5111-1-1 du code général des collectivités territoriales) : Mutualisation des services fonctionnels des collectivités territoriales et de leurs groupements
L'amendement CL88 rectifié a été retiré.
La Commission adopte l'article 19 ter sans modification.
TITRE IV
HABILITATION À AMÉLIORER L'INTÉLLIGIBILTÉ DE LA LÉGISLATION APPLICABLE À LA PROTECTION DES DONNÉES
Article 20 : Habilitation à réviser par voie d'ordonnance la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Suivant l'avis favorable de la rapporteure, la commission adopte l'amendement CL101 du Gouvernement, visant à rétablir la rédaction de l'Assemblée nationale en première lecture.
Puis elle adopte l'article 20 modifié.
Article 20 bis (supprimé) (sous-section 4 de la section III du chapitre IV du titre II et art L. 242-20 du code de consommation et 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) : Droit à la portabilité des données à caractère personnel et des données non personnelles
La commission est saisie de l'amendement CL46 de la rapporteure.
Cet amendement vise à rétablir l'article 20 bis dans sa rédaction adoptée par l'Assemblée nationale.
La commission adopte l'amendement.
L'article 20 bis est ainsi rétabli.
TITRE V
DISPOSITIONS DIVERSES ET FINALES
Article 21 (art. 13, 15, 16, 17, 21, 29, 30, 31, 39, 42, 67, 70 et 71 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) : Coordinations
La Commission adopte l'article 21 sans modification.
Article 22 : Mise à disposition du public, dans un format ouvert et aisément réutilisable, de la liste des traitements ayant fait l'objet de formalités préalables
La Commission adopte l'article 22 sans modification.
Article 23 (art. 230-8 et 804 du code de procédure pénale) : Modalités d'effacement des données inscrites dans les traitements d'antécédents judiciaires
Suivant l'avis favorable de la rapporteure, la commission adopte l'amendement CL102 du Gouvernement, visant à rétablir la rédaction de l'Assemblée nationale en première lecture
Puis elle adopte l'article 23 modifié.
Article 23 bis (supprimé) (art. L. 1461-7 du code de la santé publique) : Coordination
La Commission maintient la suppression de cet article.
Article 24 : Dispositions d'entrée en vigueur
La commission est saisie de l'amendement CL47 de la rapporteure.
La commission adopte l'amendement.
Elle examine l'amendement CL105 de la rapporteure.
Cet amendement a pour objet de reporter au 1er janvier 2019 l'entrée en vigueur de la disposition adoptée par le Sénat prévoyant la nullité des décisions administratives individuelles prises sur le fondement d'un traitement algorithmique qui ne comporteraient pas la mention prévue à l'article L.311-3-1 du code des relations entre le public et l'administration.
Ce délai supplémentaire doit laisser à l'administration le temps nécessaire pour s'organiser et adapter en conséquence l'information délivrée aux citoyens.
La commission adopte l'amendement.
Elle est saisie de l'amendement CL103 du Gouvernement.
Le Gouvernement propose de reporter à la rentrée scolaire 2018 l'entrée en vigueur des dispositions que nous avons votées à l'article 14 bis A rendant obligatoire la publication du registre des traitements de données scolaires.
La rédaction de l'amendement CL103 est-elle suffisamment précise quand elle évoque « la rentrée de l'année scolaire 2018-2019 » ? En effet, les dates de rentrée scolaire ne sont pas forcément identiques en outrer-mer et en métropole. Peut-être faut-il revoir la formulation ?
C'est justement pour englober toutes les possibilités qu'il a été choisi ne pas préciser une date d'entrée en vigueur, mais nous pourrons vérifier que cette rédaction est bien la plus adaptée.
La commission adopte l'amendement.
Puis elle adopte l'article 24 modifié.
Elle adopte enfin l'ensemble du projet de loi modifié.
Mes chers collègues, je vous rappelle que ce texte sera examiné en séance publique jeudi 12 avril à neuf heures trente.
Nous avons eu des discussions sur le fond qui étaient nécessaires. La CMP n'a pas été conclusive, ce que nous regrettons. Le président du Sénat a indiqué qu'il envisageait de demander au Conseil constitutionnel d'examiner le texte, ce à quoi nous ne sommes pas opposés, car nous n'y voyons pas une punition. Cela dit, cet examen devra se faire rapidement, en l'occurrence dans les huit jours, afin que le texte bénéficie d'une certaine stabilité et que l'ensemble des acteurs concernés par le règlement général sur la protection des données soient en mesure de connaître les règles juridiques applicables à compter du 25 mai prochain.
Je ne suis pas opposé moi non plus à ce qu'un texte soit purgé de ses inconstitutionnalités par le Conseil constitutionnel, mais un problème de délais peut effectivement se poser. Madame la présidente, pouvez-vous nous éclairer, à titre prévisionnel, sur le calendrier d'examen de ce texte ?
La nouvelle lecture au Sénat aura lieu la semaine prochaine, et la lecture définitive à l'Assemblée nationale devrait se faire après la suspension de nos travaux, vraisemblablement le 14 mai. Par ailleurs, on m'indique que le Conseil constitutionnel sait faire vite quand c'est nécessaire. Comme l'a dit M. Latombe, nous n'avons pas à redouter l'intervention du Conseil constitutionnel : bien au contraire, voter des textes conformes à la Constitution est bien le minimum que nous puissions faire !
La réunion s'achève à 19 heures 40.
Membres présents ou excusés
Présents. - M. Erwan Balanant, Mme Yaël Braun-Pivet, M. Xavier Breton, M. Vincent Bru, M. Éric Ciotti, M. Jean-Michel Clément, Mme Coralie Dubost, Mme Nicole Dubré-Chirat, Mme Isabelle Florennes, Mme Paula Forteza, M. Philippe Gosselin, M. Dimitri Houbron, M. Sébastien Huyghe, M. Guillaume Larrivé, M. Philippe Latombe, Mme Marie-France Lorho, Mme Alexandra Louis, M. Jean-Louis Masson, M. Stéphane Mazars, M. Jean-Michel Mis, M. Paul Molac, Mme Danièle Obono, M. Jean-Pierre Pont, M. Rémy Rebeyrotte, M. Robin Reda, M. Hervé Saulignac, M. Jean Terlier, M. Arnaud Viala, M. Cédric Villani, M. Jean-Luc Warsmann
Excusés. - M. Philippe Dunoyer, M. Jean-Michel Fauvergue, Mme Marie Guévenoux, M. Mansour Kamardine, Mme Maina Sage, Mme Alice Thourot, M. Guillaume Vuilletet