Mardi 23 janvier 2018
La séance est ouverte à seize heures trente-cinq.
(Présidence de Mme Brigitte Bourguignon, présidente)
La commission des affaires sociales procède à l'examen pour avis des articles 7, 9 et 13 du projet de loi relatif à la protection des données personnelles (Mme Albane Gaillot, rapporteure pour avis).
Mes chers collègues, notre ordre du jour appelle l'examen pour avis des articles 7, 9 et 13 du projet de loi relatif à la protection des données personnelles, examiné au fond à partir de ce soir par la commission des lois. Notre commission s'est saisie pour avis des articles portant notamment sur les données de santé. Sous l'influence du droit européen, la refonte du régime de protection de ces données ne pouvait évidemment pas nous laisser indifférents.
La protection des données personnelles n'est pas une préoccupation nouvelle pour le législateur. La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, plus connue sous le nom de loi « Informatique et libertés », était déjà la réponse du législateur aux craintes suscitées par l'interconnexion de fichiers à l'aide du numéro Insee.
Cette loi, fondatrice, nécessite aujourd'hui d'être actualisée au regard de l'enjeu sociétal que représente le numérique. Les nouvelles technologies informatiques ont modifié en profondeur nos usages. Elles concernent tous les aspects de notre vie quotidienne – loisirs, nouvelles formes de sociabilité, information, échanges ou développement économique. Elles génèrent également un nombre exponentiel de données.
Le règlement européen de protection des données (RGPD), comme le projet de loi dont nous sommes saisis pour avis, constituent une réponse appropriée à ces nouveaux enjeux. Le RGPD, qui entrera en vigueur le 25 mai 2018, vise à alléger les charges résultant des formalités préalables de déclaration ou d'autorisation de traitements des données personnelles.
Les modifications proposées par ce règlement visent aussi à responsabiliser davantage les acteurs : ils seront désormais tenus de se conformer au cadre de référence, élaboré en lien avec l'autorité de régulation, et de procéder à une analyse des risques d'atteinte aux droits fondamentaux et libertés. Par ailleurs, ces mêmes acteurs pourront faire l'objet d'un contrôle a posteriori. Le régime des sanctions est considérablement renforcé – jusqu'à 4 % du chiffre d'affaires s'agissant des amendes pécuniaires. Ces modifications devraient nous permettre d'améliorer nos capacités de contrôle, dans le cadre d'actions coordonnées au niveau européen entre les autorités régulatrices.
En outre, le principe de l'application du droit de l'Union européenne et de ses États est explicitement prévu, y compris pour les traitements opérés hors territoire de l'Union, s'ils concernent un résident européen.
Enfin, si le règlement présente des mesures directement applicables, il en prévoit plus d'une cinquantaine dont les États membres devront préciser le cadre ou pour lesquelles ils pourront notamment prévoir plus de garanties que le droit européen. C'est le cas des données sensibles, à l'instar des données de santé, qui entrent dans le champ de notre saisine.
Le projet s'inscrit dans ce mouvement et renverse la logique antérieure. Le principe de l'autorisation préalable, accordée par l'autorité de régulation – en l'espèce, la Commission nationale de l'informatique et des libertés (CNIL) – s'efface au profit d'une déclaration de conformité à un référentiel et d'un renforcement des capacités de contrôle. Cela étant, s'agissant des articles 7, 9 et 13 dont nous sommes saisis pour avis, les États membres ont la possibilité d'adapter leur réglementation, afin de prévoir un degré de protection des données à caractère personnel plus élevé et de garantir les droits fondamentaux et les libertés.
L'article 7 traite des données « sensibles » qui méritent, à ce titre, une protection spécifique, car le contexte dans lequel elles sont traitées pourrait entraîner des risques importants. Le projet prend ainsi acte de l'élévation des données biométriques et génétiques au rang de données sensibles, au même titre que les données de santé. Pour ces catégories, le principe reste l'interdiction de traitement, sauf dérogations strictement encadrées.
Le projet de loi précise également les droits attachés à la protection des citoyens faisant l'objet de traitements de données à caractère personnel. Surtout, il définit officiellement les données de santé, élevant ainsi le degré d'exigence applicable aux traitements de données qui ne relevaient jusqu'alors pas de ce périmètre. Ces données de santé couvriront désormais les « données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ».
L'article 9 traite du numéro d'inscription au répertoire (NIR) des personnes physiques. Au fil des ans, le régime actuel était devenu incompréhensible pour les responsables de traitement. Il combinait diverses autorisations accordées par la CNIL ou relevant du domaine législatif et réglementaire, ainsi que des formules allégées. Le texte prévoit désormais qu'un décret en Conseil d'État listera les acteurs concernés. Il sera publié après avis motivé de la CNIL.
L'article 13 modifie le chapitre IX de la loi du 6 janvier 1978 afin qu'il regroupe l'ensemble des règles dévolues au traitement des données de santé. Les dispositions sont actuellement dispersées – aux articles 25, 27 et au chapitre IX de la loi.
Par ailleurs, s'il allège les formalités dans l'esprit du RGPD, cet article n'opère pas de bouleversement dans les procédures. Le projet de loi conforte les évolutions apportées par la loi de modernisation de notre système de santé (LMSS), s'agissant de l'ouverture encadrée aux informations du système national des données de santé (SNDS). Il maintient aussi la possibilité d'apparier le NIR aux données de santé, sous le contrôle de la CNIL, tout en maintenant la possibilité d'effectuer des travaux de recherche de qualité.
Une évolution doit cependant être soulignée : désormais, en cas de demande d'autorisation, le silence gardé par la CNIL pendant plus de deux mois vaudra acceptation. Cette modification permettra d'accélérer le traitement des demandes tout en maintenant un haut niveau de recherche, donc d'innovation et de compétitivité.
Le texte présente enfin plusieurs défis. Le premier devra être relevé par les responsables de traitement. L'appropriation des normes et leurs impacts économiques ont été régulièrement abordés au cours des auditions. Une certaine anxiété demeure et peut se nourrir des confusions résultant des choix rédactionnels opérés par le Gouvernement. Sur ce point, ce dernier a indiqué que l'urgence commandait de toiletter le droit en vigueur afin de supprimer les règles en contradiction flagrante avec le droit européen. Mais l'article 20 du projet habilite également le Gouvernement à légiférer par ordonnance, afin de procéder à la réécriture de la loi du 6 janvier 1978.
Le second défi concerne la CNIL. Cette dernière a parfaitement anticipé les évolutions du RGPD. Elle a élaboré une doctrine d'emploi conforme aux nouvelles exigences, tout en opérant un basculement de ses services vers l'accompagnement des opérateurs publics et privés. Toutefois, les objectifs sous-tendus par la nouvelle logique de régulation nécessitent un renforcement de ses capacités opérationnelles, tant pour l'accompagnement que pour le contrôle. La puissance publique doit prendre ses responsabilités, afin de faciliter la transformation de la CNIL en un accompagnateur, et non plus simplement un contrôleur.
Le dernier défi concerne ceux que j'appelle les « acteurs de données », qu'ils soient citoyens producteurs de données ou responsables de traitement des données personnelles – professionnels de santé, acteurs industriels ou organismes de recherche. Le recueil du consentement, le droit à l'information, le droit de rectification, le droit à l'oubli, pour ne citer qu'eux, supposent une démarche éthique de la part des responsables de traitement, qui compte autant que la qualité des données recueillies, aussi bien lors de la collecte que lors du traitement et de l'analyse. Les données de santé requièrent une vigilance toute particulière. Aussi, me semble-t-il indispensable de saluer le développement des labels et certifications, prévu par le texte.
De leur côté, les citoyens, producteurs de données, doivent être particulièrement vigilants quant au consentement accordé à l'utilisation de leurs données personnelles, surtout de leurs données de santé, alors que notre univers tend à devenir complètement numérique. Un ambitieux chantier de sensibilisation doit être entrepris. L'hiatus important entre la légitime volonté de protéger ses données personnelles et une forme d'insouciance quand il s'agit de donner son accord dans le cadre de nos outils numériques quotidiens pose question. On voit ainsi des internautes publier des informations sur leur santé sur les réseaux sociaux…
Il nous faut donc à la fois adopter un cadre juridique sécurisant et développer une pédagogie adaptée à cet environnement en perpétuelle mutation. Telle est la voie tracée par ce projet et je vous invite à donner un avis favorable aux articles dont nous sommes saisis.
Au moment où le numérique et la mobilité révolutionnent notre rapport au monde, il est bien évidemment impératif de mieux protéger les personnes contre les manipulations potentiellement malveillantes de leurs données. La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et la loi pour une République numérique du 7 octobre 2016 y répondent en partie. Toutefois, l'adoption du Paquet européen de protection des données à caractère personnel par le Parlement européen et le Conseil le 27 avril 2016 est l'occasion de renforcer notre droit face aux nouvelles menaces qui pèsent sur la vie privée. C'est ce que propose le présent projet qui adapte le nouveau RGPD à notre législation et transpose dans notre droit la directive européenne concernant les infractions pénales.
Vous l'avez évoqué, la philosophie d'ensemble du texte repose sur une logique de responsabilité renforcée des acteurs du traitement et de leurs sous-traitants. Les articles 7, 9 et 13 dont notre commission s'est saisie s'inscrivent pleinement dans ce nouveau paradigme juridique. L'article 7 élargit le champ d'interdiction de traitement des données sensibles aux données génétiques, biométriques et concernant l'orientation sexuelle d'une personne, tout en accordant des dérogations spécifiques à l'État, en cas d'utilité publique ou sécuritaire. Il s'agit d'une avancée importante en termes de protection de la part intime de l'être humain.
L'article 9 supprime le régime de déclaration préalable auprès de la CNIL, sauf pour les traitements réalisés par des personnes publiques ou privées qui mettent en oeuvre le NIR ou par l'État en sa qualité de puissance publique. La responsabilisation des entreprises est donc à l'oeuvre : la CNIL en assurera le suivi et le contrôle, il s'agit d'un dispositif équilibré et fluide.
L'article 13 s'applique aux traitements de données de santé, en établissant un recours à des référentiels et des méthodologies de référence homologués par la CNIL, tout en conservant la procédure de déclaration et d'autorisation actuellement en vigueur, donc de formalité préalable pour le traitement à des fins de recherches scientifiques.
C'est sans doute dans le domaine de la santé que subsistent quelques écueils. Par exemple, le traitement du NIR des patients dans le cadre de la télémédecine est de nature à freiner le développement de dispositifs innovants – pourtant promus par le Gouvernement – puisqu'il nécessitera une autorisation par voie réglementaire. Nous comptons sur vos explications, madame la rapporteure, pour lever ce point d'interrogation marginal.
Malgré tout, ce projet marque une avancée pour la sécurité des données personnelles et le droit des personnes, qui pourront en outre demander l'effacement ou la récupération de leurs données. Aussi, le groupe Les Républicains le votera.
L'objet du projet de loi est de mettre le droit français en conformité avec le paquet européen relatif à la protection des données. Fruit d'un compromis dans lequel la France a pris toute sa part, cette directive a été adoptée par le Parlement européen et le Conseil le 27 avril 2016.
Il s'agit d'un domaine où la France a joué un rôle pionnier puisqu'elle a été l'un des premiers pays de l'Union européenne à se doter d'une législation globale de protection des données à caractère personnel avec la loi fondatrice du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et avec la création d'une autorité de contrôle chargée de veiller à son respect, la CNIL.
Dans la mesure où il s'agit d'un phénomène qui ne connaît pas de frontière, il était nécessaire d'agir au niveau européen. Les trois articles dont notre commission s'est saisie pour avis traitent des données sensibles, du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques et des données de santé.
Il convient de maintenir un cadre exigeant dans le traitement des données qui permette la recherche tout en ne pesant pas sur la compétitivité de notre pays. Ce projet de loi entend répondre à cette double exigence. Nous l'examinerons dans un esprit constructif et avec bienveillance car il va dans le bon sens.
Sous ses aspects très techniques, ce projet renvoie à des enjeux politiques importants, qu'il s'agisse du sujet très sensible de la protection des données personnelles ou plus généralement du droit au respect de la vie privée. Ce sont autant de sujets d'inquiétude pour nos concitoyens et, à ce titre, je me réjouis que la commission des affaires sociales se soit saisie de ce texte pour avis.
Ce projet renforce la cohérence entre les pays de l'Union européenne : désormais, un organisme ne pourra plus choisir l'État dont le droit sera le plus avantageux pour lui. Il marque un progrès pour la protection des citoyens puisque la protection des données à caractère personnel est un droit fondamental inscrit dans la Charte des droits fondamentaux de l'Union européenne. Pour cette raison, le groupe du Mouvement démocrate et apparentés le soutiendra.
Il constitue aussi un grand pas en avant pour la sécurité juridique des acteurs économiques mais aussi pour leurs capacités d'innovation. À titre d'illustration, le secteur de la santé, devenu stratégique en matière de données personnelles, bénéficiera d'un allégement des formalités préalables d'autorisation auprès de la CNIL.
Cette responsabilisation accrue des acteurs de santé ira de pair avec un renforcement en aval du contrôle. Elle favorisera notamment le déploiement de la télémédecine et de l'éducation thérapeutique.
Enfin, il est à noter que, dans sa rédaction actuelle, le projet de loi ne prévoit aucune disposition relative à l'âge de consentement pour le traitement de données personnelles. Il s'en remet au règlement européen qui l'a fixé à seize ans – l'autorisation des parents étant nécessaire avant – et qui a ouvert à chaque État membre la possibilité, dont se sont saisis l'Espagne et le Royaume-Uni, de l'abaisser jusqu'à treize ans. Ce point méritera sans doute débat.
Ce projet s'accompagne de nouvelles avancées sur la portabilité des données personnelles. La coopération européenne est renforcée, les autorités de protection des données personnelles devant adopter des décisions communes s'agissant du traitement des données transnationales, ce dont nous ne pouvons que nous réjouir.
Le groupe Mouvement démocrate et apparentés, et plus précisément mes collègues de la commission des lois, souhaite cependant sensibiliser les membres de notre commission à l'utilisation des données à caractère personnel collectées à partir d'outils numériques éducatifs. Les GAFA (pour Google, Apple, Facebook et Amazon) proposent des outils numériques gratuits pouvant concurrencer les espaces numériques sécurisés, qui sont privilégiés par le ministère de l'éducation. Nous pensons utile d'étendre à ces données les principes d'interdiction de traitement posés à l'article 7. Notre groupe déposera un amendement en ce sens en séance.
Madame Corneloup, vous redoutez que l'utilisation du NIR freine le développement de la télémédecine. Ce ne sera pas le cas. Un décret-cadre définira des catégories de responsables de traitement et autorisera des catégories de traitement. Les professionnels de santé ou les acteurs de traitement qui ont déjà obtenu une autorisation de la CNIL pourront continuer d'en bénéficier. Les responsables du Syndicat national de l'industrie des technologies médicales (SNITEM) que nous avons rencontrés se sont réjouis de la publication de ce décret-cadre. De portée plus générale, il ne nécessitera pas qu'un décret en Conseil d'État soit pris à chaque nouvelle demande d'autorisation.
Mesdames Elimas et Firmin Le Bodo, l'âge du consentement suscitera un débat à la commission des lois. Les adolescents entre treize et seize ans sont souvent victimes de cyber-harcèlement. En qualité de rapporteure, je suis là pour poser un cadre : il est important d'instaurer une mesure plus protectrice, raison pour laquelle j'ai choisi de ne pas déposer d'amendement pour abaisser l'âge du consentement. Il y va aussi de la responsabilité des parents, auxquels il incombe de mieux former leurs enfants à l'utilisation des outils numériques.
Enfin, monsieur Hammouche, vous avez raison d'appeler notre attention sur les outils connectés. Un objet connecté produit-il des données de santé ? Non, il s'agit de données brutes mais nous savons que leur croisement aboutit à créer des données de santé qui, elles, relèvent du régime des autorisations. Nous étudierons votre amendement.
Contrairement aux apparences, ce projet ne vise pas une mise en cohérence entre le droit français et le droit européen, il libéralise la gestion des données personnelles et nous le déplorons. Il affaiblit le rôle de Commission nationale de l'informatique et des libertés, garante des droits des citoyens. En cela, il porte une atteinte grave au respect de la vie privée.
Des millions de nos concitoyens utilisent leurs smartphones et les réseaux sociaux et c'est leur vie privée qui est ainsi offerte aux multinationales spécialistes du big data.
Ce projet fait semblant d'ignorer la puissance des géants du Net. Il ne prend pas en compte le fait que des secteurs entiers ne reposent que sur l'exploitation des données personnelles et que, derrière l'apparente gratuite de nombreuses applications et sites internet, se cache la transformation du consommateur en produit. Le piratage des données de 57 millions d'utilisateurs de l'application Uber en novembre dernier est à cet égard alarmant.
Ce texte n'est clairement pas à la hauteur des enjeux.
Le profilage doit être interdit. Reposant sur un traitement automatisé, il vise à prédire des comportements grâce à l'analyse de données relatives au rendement au travail, à la situation économique, à la santé, aux préférences personnelles, aux intérêts, à la fiabilité, à la localisation, aux déplacements. Il permet, par exemple, à Facebook d'afficher sur votre fil d'actualité des publicités cohérentes avec le reste de vos activités, votre profession, vos besoins de vacances et même votre orientation sexuelle !
Nous devons aussi interdire le croisement de données non sensibles qui aboutit à créer des données sensibles. Imaginez ce que peut donner l'exploitation des données d'une application de running mesurant les performances sportives et de la géolocalisation, qui permet de savoir si vous consultez régulièrement un médecin traitant. Des données inoffensives en apparence regorgent de richesses pour les entreprises spécialisées dans leur collecte et leur gestion. Elles sont susceptibles d'être vendues au plus offrant et à ceux qui ont intérêt à connaître l'état de santé de leurs clients. Je pense aux assurances qui pourront en apprendre beaucoup en passant outre le secret médical. Et ce n'est qu'un exemple des dérives que ce projet de loi ne prévoit pas de combattre.
Le Gouvernement sous-estime l'habileté de l'industrie du web à se procurer les données les plus rentables, au détriment du consentement et de la vie privée des personnes.
En fixant un cadre insuffisamment protecteur pour les individus et trop laxiste pour les entreprises, l'État se tirerait une balle dans le pied. Il accompagnerait l'extension infinie de la puissance des acteurs du web qui sont déjà, pour partie, aussi documentés que lui. Il ne se donnerait pas les armes nécessaires pour combattre les inévitables dérives d'un secteur dont chacun est de plus en plus dépendant. Bien sûr, ce n'est pas à l'État de régir le fonctionnement d'Internet mais il lui revient de garantir la protection des individus et le respect de la loi. Or nous en sommes visiblement encore bien trop loin.
Je salue la qualité du rapport, et l'accent qui y est mis sur l'esprit de ce paquet européen, qui prévoit un renforcement du rôle de la CNIL et une modification de sa mission, davantage dans un rôle d'accompagnement que de contrôle et de sanction, conformément à la volonté de ce Gouvernement pour ce qui concerne les rapports avec l'administration.
Il me semble par ailleurs qu'un véritable équilibre est trouvé entre le contrôle des données, notamment des données sensibles, et le respect de la liberté d'entreprendre et le développement du numérique.
Pour répondre à M. Quatennens, il ne faut pas renforcer la concurrence intra-européenne sur ces sujets, tout l'intérêt des directives européennes étant d'aller vers une harmonisation de la protection des droits sur ces questions très sensibles.
Contrairement à M. Quatennens, je ne crois pas que ce texte sous-estime la capacité des entreprises à utiliser les données personnelles, simplement le Gouvernement pratique le laisser-faire en toute conscience.
Ce texte a pour seul objet de se donner bonne conscience sans s'attaquer au fond du problème, nous ne le voterons pas en l'état.
Merci, madame Janvier, de votre soutien sans faille. Messieurs Quatennens et Chenu, il me semble que votre approche est similaire. Le cadre légal en France a près de 40 ans, il date de 1978. Il était fondé sur un régime d'autorisation, de déclaration préalable.
J'ai auditionné l'association des correspondants informatique et libertés, et je peux vous dire que la situation dans les TPE et PME était catastrophique. Ces entreprises n'appliquaient rien et faisaient du traitement de données sans rien déclarer, car elles ne connaissaient pas le droit.
Ce projet nous permet de braquer les projecteurs sur cette question, de restaurer la confiance des citoyens et des entreprises dans le numérique, de responsabiliser les entreprises, de donner un rôle important à la CNIL pour créer les référentiels, les règlements-types et les outils. De grandes entreprises ou des filières entières travaillent avec la CNIL, comme les assureurs, qui ont créé un pack de conformité sectoriel pour se mettre en conformité.
Aujourd'hui, les entreprises ou les acteurs de la recherche, du traitement ou de la collecte, manifestent un vrai souci de vigilance. Il n'y a aucune volonté de malveillance. Oui, des croisements de données se font parfois. Moi aussi, j'ai un smartphone qui compte mon nombre de pas, et j'ai signé quelque part pour donner mon accord. Oui, ce projet de loi répond à ce problème en prévoyant justement que ces données, parce qu'elles peuvent être croisées, deviennent des données de santé. Elles répondent ainsi à un régime spécifique d'autorisation et de mise en conformité.
Il y a donc un contrôle et une obligation pour l'entreprise de se mettre en conformité avec des référentiels ou des règlements-types. Et si ce n'est pas fait, la CNIL a des pouvoirs de sanction démultipliés, jusqu'à 4 % du chiffre d'affaires.
Le projet répond donc à l'ambition de protéger les citoyens et de responsabiliser. Il préserve la liberté de créer et de rechercher et prévoit des protections pour les citoyens. Le droit à la protection et le droit à l'oubli ne sont pas abordés par les articles qui font l'objet de la saisine de notre commission, mais ils créent de vraies protections. À nous, législateurs, d'être plus pédagogues à ce propos. C'est une matière compliquée, et plus nous serons pédagogues, plus le droit sera accessible et plus les citoyens seront protégés.
La commission en vient à l'examen pour avis des articles.
Suivant l'avis de la rapporteure, elle émet un avis favorable à l'adoption des articles 7, 9 et 13, sans modification.
Puis elle émet un avis favorable à l'adoption de l'ensemble du projet de loi, sans modification.
Puis, la commission entend la communication de M. Pierre Dharréville, rapporteur, sur les conclusions de la mission flash relative aux aidants familiaux.
Ce point de l'ordre du jour ne fait pas l'objet d'un compte rendu écrit. Les débats sont accessibles sur le portail vidéo du site de l'Assemblée à l'adresse suivante :
Communication de M. Pierre Dharréville, rapporteur, sur les conclusions de la mission flash relative aux aidants familiaux
Questions des représentants des groupes
Questions des représentants des groupes
Questions des représentants des groupes
Questions des représentants des groupes
Questions des représentants des groupes
La séance est levée à dix-huit heures trente-cinq.
————
Présences en réunion
Réunion du mardi 23 janvier 2018 à 16 heures 35
Présents. – Mme Delphine Bagarry, M. Belkhir Belhaddad, Mme Justine Benin, M. Bruno Bilde, Mme Brigitte Bourguignon, Mme Blandine Brocard, M. Sébastien Chenu, M. Gérard Cherpion, Mme Josiane Corneloup, M. Marc Delatte, M. Pierre Dharréville, Mme Nathalie Elimas, Mme Agnès Firmin Le Bodo, Mme Albane Gaillot, Mme Patricia Gallerneau, Mme Claire Guion-Firmin, M. Brahim Hammouche, Mme Caroline Janvier, M. Mustapha Laabid, Mme Fiona Lazaar, Mme Charlotte Lecocq, M. Gilles Lurton, M. Bernard Perrut, Mme Michèle Peyron, M. Laurent Pietraszewski, Mme Claire Pitollat, Mme Nadia Ramassamy, Mme Marie Tamarelle-Verhaeghe, M. Jean-Louis Touraine, Mme Élisabeth Toutut-Picard, Mme Isabelle Valentin, Mme Annie Vidal, Mme Corinne Vignon, M. Stéphane Viry
Excusés. – Mme Ericka Bareigts, Mme Gisèle Biémouret, Mme Emmanuelle Fontaine-Domeizel, M. Jean-Philippe Nilor, Mme Nicole Sanquer, Mme Hélène Vainqueur-Christophe
Assistaient également à la réunion. – M. Dino Cinieri, M. David Lorion, M. Adrien Quatennens