Interventions sur "CNIL"

Cet amendement vise à créer un droit de communication entre la CNIL et la direction générale des finances publiques – DGFiP. Il s'agit de conférer des pouvoirs supplémentaires à la CNIL, dont disposent déjà d'autres autorités administratives indépendantes telles que l'Autorité de la concurrence ou l'Autorité des marchés financiers. Pourquoi donner de tels pouvoirs à la CNIL ? Compte tenu de ses nouvelles missions, de la multiplication des acteurs qu'il lui incom...

Avis défavorable. Cet amendement est à notre sens satisfait par l'article 4 du projet de loi, qui dispose que les agents de la CNIL « peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles et nécessaires à l'accomplissement de leur mission ». Cela concerne en particulier l'administration fiscale.

..., permet la généralisation des fichiers en matière pénale « à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces », et supprime l'obligation de leur autorisation par arrêté ministériel. À l'instar de la CNIL, nous souhaitons promouvoir le renforcement du droit commun plutôt que son démantèlement ou la facilitation des fichiers. Dans son avis du 30 novembre 2017, la CNIL estime que « le projet de loi ne prévoit aucune disposition concernant le droit d'opposition des personnes concernées, qui doit pouvoir, y compris en ces matières, trouver à s'appliquer dans des circonstances particulières, comme par...

Ce texte a donné lieu à deux avis, l'un du Conseil d'État et l'autre de la CNIL, qui tous deux considèrent qu'il apporte des modifications de grande ampleur et qu'il est examiné dans des conditions particulièrement dégradées. L'article 20 en est le symbole. Parce que le travail doit être finalisé avant le 25 mai 2018, il faut se presser et emprunter la voie des ordonnances pour lesquelles le champ de l'habilitation est très large. Après des ordonnances sur le code du travai...

Nous avons déjà eu ce débat lors de l'examen de l'amendement no 106 présenté tout à l'heure par M. Peu. J'ajoute aux arguments avancés à cette occasion que, s'agissant du cas particulier des applications d'e-santé, la CNIL estime que les données de santé sont des données sensibles. L'amendement est donc satisfait par le droit existant. La commission émet un avis défavorable.

J'observe que les avis de la commission et du Gouvernement diffèrent quant à leurs fondements respectifs. Madame la rapporteure, vous affirmez que les décisions de la CNIL règlent le problème. Si vous ne contestez pas le fond de l'argumentation, rien n'empêche de procéder à une précision supplémentaire. Je vous fais d'ailleurs observer que plusieurs projets de loi que nous avons votés reprennent des dispositions déjà existantes. Madame la ministre, vous contestez le fond même de l'amendement. Ce que nous proposons d'interdire, c'est le croisement de plusieurs donn...

...publique ». Nous proposons donc que la loi précise les champs dits de « mission d'intérêt public », en renvoyant le recensement exhaustif de ces missions à un décret en Conseil d'État. En effet, le Gouvernement peut définir les types de traitement de données dans ces domaines qui devront faire l'objet d'une autorisation, cette règle s'appliquant aux responsables de traitements de données et à la CNIL. Il nous semble que de nombreux traitements de données – qui existent déjà – ne sont pas concernés par le régime d'autorisation préalable, alors même que leur caractère massif comme le type de données traitées devrait imposer une telle procédure. Je pense notamment au traitement de données sur la paie des agents publics, par l'application Chorus notamment, au traitement de données hautement sens...

Cet amendement va à l'encontre de la logique du RGPD. Nous voulons limiter autant que possible les autorisations préalables pour aller vers une responsabilisation des acteurs. Le contrôle se fait alors à l'intérieur des entreprises – délégués à la protection des données personnelles, catalogues de bonnes pratiques… – mais aussi, de façon accrue, par la CNIL, avec des sanctions assez lourdes. C'est ainsi que les acteurs fourniront un effort continu de sécurisation des données, et suivront les évolutions technologiques dans le domaine de la protection des données personnelles. Nous n'entendons pas revenir sur cette philosophie ; la CNIL souscrit à l'orientation générale du projet de loi, qui est de ne pas inscrire dans la loi française toutes les mar...

...prises qui traitent des données. En effet, cet article supprime le régime de déclaration préalable des traitements de données à caractère personnel, prévu par les articles 22 à 24 de la loi du 6 janvier 1978. En vertu de ce régime, les organisations qui souhaitent exploiter des données personnelles de façon automatisée ont l'obligation de déposer une demande d'exploitation préalable auprès de la CNIL. Le dépôt de la demande ainsi que le délai de traitement nécessaire peuvent constituer un frein pour certaines entreprises. Nous souhaitons donc abandonner la logique rigide de contrôle a priori au profit d'une logique plus souple et plus efficace de contrôle a posteriori. La suppression de l'autorisation préalable de la CNIL ne constitue en aucun cas une licence d'exploitation sans limites des...

...u régulateur ; passer d'une logique de déclaration à une logique de responsabilisation des acteurs. Concrètement, les responsables de traitement ne seront plus soumis à un régime de déclaration préalable, mais ils devront protéger les données dès la conception des outils et mener une étude d'impact afin de mesurer le risque que représente leur traitement des données. Dotée de pouvoirs accrus, la CNIL pourra par la suite, contrôler les responsables de traitement mais aussi les accompagner. En effet, les objectifs qui sous-tendent la nouvelle logique de régulation nécessitent un renforcement des capacités opérationnelles de la CNIL tant pour l'accompagnement que pour le contrôle. Par ailleurs, l'article 9 maintient un régime d'autorisation préalable dans deux cas : lors de traitements mis en ...

...tements déjà en cours à la date d'application du présent règlement doivent être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur. » Nous avons également appris lors des auditions que la Commission européenne serait très attentive à empêcher l'instauration par les États membres de présomptions de conformité pour des cas particuliers. Enfin, nous savons que la CNIL adoptera, de manière informelle, une approche non pas de sanction mais plutôt d'accompagnement des acteurs pour les aider à se mettre en conformité. Pour ces raisons, mon avis sera défavorable sur les deux amendements.

...nsi la mise en oeuvre de mesures, notamment « la pseudonymisation et le chiffrement des données à caractère personnel » ; « des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement » ; « une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité » des mesures. Par ailleurs, la CNIL s'est vue confier en 2016 une mission spécifique de promotion de ces technologies. Un travail de fond est en cours. J'émets donc un avis défavorable.

...ir requalifiés en responsables de traitement. Dès lors, les occasions de conflit au cours de l'exécution des contrats risquent d'être très nombreuses. Comme je l'ai fait par des amendements précédents, je préconise donc, en cas de différend entre responsable de traitement et sous-traitant, de favoriser l'intervention d'un médiateur. Une telle procédure, extérieure au processus de contrôle par la CNIL, n'apparaît pas à ce stade dans le projet de loi.

Mes amendements précédents relatifs à la médiation concernaient le cas très différent des relations entre les entreprises et les particuliers. La mise en place de la médiation préconisée dans le cas présent impliquerait que la CNIL forme les médiateurs et, éventuellement, qu'elle signe un accord avec le médiateur des entreprises, comme l'ont déjà fait l'Autorité de régulation des communication électroniques et des postes et l'Institut national de la propriété industrielle. Cela vaudrait donc le coup d'introduire un renvoi au droit commun qui encouragerait la CNIL dans ce sens. J'apprécierais que nous continuions à travaille...

...n site internet donné, plus son prix risque d'augmenter artificiellement du fait de cette consultation. Le prix fluctue en fonction de l'intensité du besoin de la personne. La souplesse des marchés est devenue telle que le consommateur est désarmé dans son face-à-face avec l'offre. Les données personnelles et les traces qu'il laisse sont utilisées contre lui. Ce n'est pas moi qui le dis, mais la CNIL ou encore la direction générale de la concurrence, de la consommation et de la répression des fraudes dans un rapport publié en 2014. Les propres données du consommateur deviennent son stigmate. Cette méthode peut s'avérer plus pernicieuse encore : si jamais le consommateur considère qu'un bien est trop cher pour son budget, l'IP tracking permet de cibler les publicités qui seront matraquées sur...

… en facilitant l'accès aux données, la création d'un traitement étant plus aisée – l'activité principale de la CNIL devenant la supervision plutôt que l'autorisation – , et en ouvrant la possibilité à un plus grand nombre d'acteurs d'utiliser ces données. Comme le rappelle notre Livret numérique, nous nous opposons au fichage de masse tel que proposé par ce projet de loi. La rédaction actuelle de la loi de 1978, notamment son article 9, ne prévoyait pas une mention sibylline telle que « sous le contrôle de l'a...

...et responsabilisation des acteurs. Conformément à l'esprit du règlement, la nouvelle logique de responsabilisation conduit à supprimer la plupart des traitements préalables, y compris pour les données de santé. Cet objectif fait un principe de la déclaration de conformité aux référentiels, aux méthodologies de référence et au respect des règlements types, et une exception de l'autorisation par la CNIL. En tout état de cause, le projet de loi maintient le délai de deux mois dans lequel la commission est amenée à se prononcer. Surtout, il en modifie la portée puisque l'absence de décision est réputée favorable. En ma qualité de rapporteure pour avis sur cet article, j'estime que ce renversement de perspective est important pour que notre pays conserve le leadership en matière d'exploitation de...

Cet article remplace les autorisations délivrées par la CNIL pour le traitement des données de santé par une série de règlements types que les acteurs « doivent » respecter – si jamais contrôle il y a… sachant que le contrôle de la CNIL ne s'effectuera plus qu'a posteriori. Nous estimons qu'en fait cela fragilise les prérogatives de la CNIL – il s'agit clairement d'une mesure de libéralisation – et nous y sommes d'autant moins favorables que, nous le savo...

Je tiens d'abord à préciser que nous n'affaiblissons pas la CNIL : …

...s dispositifs médicaux ». Quand on passe d'un texte qui permet A ou B à un texte qui permet seulement A, les acteurs qui examinent ce texte avec attention – et je pense en particulier aux start-up – doivent se dire qu'il y a une volonté, de la part du pouvoir français, de durcir le droit par rapport à ce que dispose le RGPD. Cette inquiétude a été exprimée explicitement par le représentant de la CNIL que nous avons auditionné. Celui-ci n'a pas fait mystère de ce que, dans son esprit, la question de la haute qualité des normes était incluse implicitement dans la notion d'intérêt public. Dans ce cas, pourquoi ne pas l'indiquer explicitement et, ainsi, rassurer les acteurs privés sur le fait que ce texte ne les contraindra pas davantage que le droit européen ?