Interventions sur "CNIL"

Madame la ministre, madame la rapporteure, mon opinion est sensiblement différente de la vôtre. Vous pensez, parce que l'on a besoin d'obtenir rapidement des autorisations et que l'on agit sur plusieurs fronts en même temps, que la signature du président de la CNIL suffit, sans s'embêter à la réunir en formation plénière. Pour ma part, je pense que la collégialité du débat garantit la transparence. Même s'il s'agit de nos partenaires européens, même si les agents en question sont nommés par leurs propres autorités, il n'est pas évident que la coopération sur des données sensibles au sein de l'Union européenne ne recouvre que de bonnes intentions. Des artic...

Vous avez déposé des amendements visant à auditionner les membres de la CNIL ou à les soumettre à un examen par un jury de dix personnes. Or il est là question d'efficacité : nous avons besoin d'efficacité ! Le RGPD vise à être efficace. Nous vous expliquons qu'il n'est pas efficace de demander la réunion de la Commission en formation plénière pour habiliter des agents étrangers.

Il existe des contreparties en sens inverse : les CNIL des autres pays européens fonctionnent de la même façon. Nous devons mener cette coopération : puisqu'elle est bien codifiée, restons-en à un dispositif simple et efficace.

Le présent amendement vise à sécuriser le dispositif octroyant à la CNIL la capacité d'établir des sanctions pécuniaires. Alors que la CNIL avait jusqu'à présent un rôle d'autorisation, elle devrait désormais se concentrer sur un nouveau rôle coercitif. L'octroi d'un pouvoir de sanction doit être accompagné d'un strict encadrement des motifs légaux de la sanction, afin d'assurer une protection optimale des libertés fondamentales de tous et toutes. Nous sommes favorab...

Le présent amendement a pour objet de modifier l'alinéa 5, afin que la personne n'ayant pas respecté les obligations résultant du règlement 2016679 du Parlement européen et du Conseil européen du 27 avril 2016 en soit informée par la CNIL.

L'article 6 du présent projet de loi énonce les sanctions prises par la CNIL en cas de méconnaissance par le responsable de traitement ou le sous-traitant de ses obligations découlant du règlement ou de la loi. Il prévoit notamment une injonction, éventuellement assortie d'une astreinte pouvant atteindre 100 000 euros par jour. Or, si le règlement européen prévoit bien une injonction, il ne prévoit pas d'astreinte. Par ailleurs, le seuil des sanctions pécuniaires pouvant...

...porte la taille de l'entreprise, en cas de récidive, la sanction doit être doublée. Il nous semble que si on veut changer la philosophie de l'état du droit existant en la matière, puisque c'est l'ambition de ce texte, le pouvoir de sanction doit être encore plus important parce que ce sera le seul moyen de donner de l'effectivité à la dissuasion. Sinon, on affaiblira encore plus le contrôle de la CNIL, déjà de notre point de vue affaibli par sa mise en oeuvre a posteriori.

...de leurs profits ! De surcroît, il s'agirait de récidive, donc d'entreprises qui ont déjà commis des infractions portant, cela a été dit et redit, sur des données sensibles. C'est une question de liberté d'exercer un droit démocratique, mais aussi une question financière. Nous proposons ici que le texte fasse clairement état de la proportionnalité de la sanction. Si le champ d'intervention de la CNIL est réduit au seul contrôle a posteriori, au moins que sa sanction soit un tantinet dissuasive ! Or l'échelle des sanctions que vous proposez ne le sera absolument pas pour des géants du numérique, et il y aura du coup un déséquilibre entre les capacités de ces entreprises, très puissantes financièrement, à anticiper la sanction et à récidiver à l'envi, et celles des petites entreprises qui seron...

...sant ainsi l'innovation ; la responsabilisation des acteurs et le recours à des dispositifs de droit souple, qui offrira plus de flexibilité au régulateur pour s'adapter aux avancées techniques, lesquelles sont rapides et imprévisibles ; la portabilité des données et l'extraterritorialité des normes, à même de favoriser une concurrence loyale pour les entreprises européennes ; le rôle accru de la CNIL dans l'accompagnement des entreprises, qui contribuera à niveler le terrain de jeu pour les petites et moyennes entreprises. En effet, une attention particulière devra être accordée à ces dernières, parfois encore éloignées de la mise en conformité – même si l'on assiste à une véritable prise de conscience de la vulnérabilité de certaines données et que les entreprises souhaitent rattraper leur ...

... dont nous nous félicitons. Mais nous devrons faire preuve de pédagogie et de conviction pour qu'un changement de mentalité et de pratique accompagne cette évolution juridique, pour que chaque individu soit conscient de ses droits et des recours qui lui sont offerts et que chaque responsable de traitement puisse agir en conformité avec ses obligations. Le rôle des autorités de contrôle, comme la CNIL, mais également de l'État et de tous les acteurs intéressés par cette matière – et nous sommes de plus en plus nombreux – , sera donc essentiel au cours des prochaines années pour expliquer, accompagner et assurer une intégration progressive des règles en vigueur. Le législateur se doit de répondre à un impératif de clarification. Cette demande s'est fortement exprimée dans toutes nos auditions,...

...nons n'abaisse pas le degré de protection des données de santé. Il maintient, au contraire, le régime existant qui les fait ressortir à la catégorie des données sensibles et au principe de l'interdiction de traitement. S'il existe des dérogations, celles-ci trouvent à s'appliquer dans l'esprit du droit européen qui opère le basculement du régime d'autorisation vers un contrôle a posteriori par la CNIL. L'équilibre dégagé par la loi de modernisation de notre système de santé n'est pas remis en question par le RGPD, ni par le projet de loi. Le cadre juridique opère une conciliation entre les exigences de la vie privée et l'intérêt général. L'ouverture de l'accès aux données de santé reste inchangée et doit permettre de favoriser la recherche, l'innovation, l'amélioration de la prise en charge d...

...urront se prévaloir de nouveaux droits, tels que la portabilité des données, le renforcement de leur information et le droit à l'effacement. La responsabilité des traitements pèse désormais sur les entreprises, qu'elles soient responsables de traitement ou sous-traitantes. Elles devront estimer les risques et les impacts sur les données personnelles et vérifier la licéité de leur traitement. Les CNIL nationales auront un rôle de conseil et d'accompagnement auprès d'elles. En échange de cette plus grande souplesse, le contrôle est désormais exercé a posteriori par les autorités nationales, qui pourront infliger des amendes administratives allant jusqu'à 4 % du chiffre d'affaires mondial. Ce projet de loi appelle un ensemble de remarques. En premier lieu, le Gouvernement a fait un choix parcim...

...s qui distinguent la démocratie du totalitarisme : le droit à la vie privée. Ce risque de totalitarisme peut venir de l'État, mais il vient en réalité plus sûrement des GAFA – Google, Apple, Facebook, Amazon. Ce que je viens de faire – définir les termes clés et quelques-uns des enjeux liés aux données personnelles à l'ère numérique – , ce travail d'information, est l'une des missions clés de la CNIL. Cependant nombre de nos concitoyens et concitoyennes ne connaissent malheureusement pas ou mal cette autorité administrative indépendante et selon nous, sa mission d'information et de formation à la protection des données sensibles n'est pas assez développée pour rendre compte des enjeux de l'éducation au numérique. La France insoumise a déposé des amendements en vue d'étayer cette fonction. La ...

...ératif : assurer les libertés individuelles et collectives, et garantir le droit au respect de la vie privée comme le prévoit la Charte des droits fondamentaux de l'Union européenne. Or la réforme qui nous est présentée ici, en procédure accélérée, est difficilement intelligible du fait, principalement, d'un empilement de textes, de multiples renvois et de superpositions. Le Conseil d'État et la CNIL eux-mêmes ont souligné ce défaut de lisibilité. En outre, l'étude d'impact est bien insuffisante pour apporter les éléments d'analyse nécessaires à la compréhension de cette réforme. Le Conseil d'État observe à cet égard qu'elle « n'éclaire, en dépit de son volume, qu'assez peu les choix stratégiques que le Gouvernement a pratiqués. » Au regard de ces difficultés, le projet de loi autorise, en so...

...t est très proche, puisqu'elle est prévue pour mai prochain. Le paquet européen recouvre, d'une part, le règlement général sur la protection des données en matière civile et commerciale et, d'autre part, la directive relative aux traitements en matière d'infractions pénales. Le choix de notre pays a été de ne pas remettre en cause les grands principes de la loi de 1978 et donc l'existence de la CNIL, qui vient de fêter ses quarante ans, mais d'adapter la loi référence de 1978 au cadre européen et de tenir compte des impératifs de fluidité qu'impose le développement du numérique dans nos sociétés. Le grand changement est le passage d'un contrôle a priori, sous la forme de déclarations ou d'autorisations déposées et délivrées par la CNIL, à un dispositif de contrôle a posteriori. Cela a de no...

Dans ce contexte, quels nouveaux moyens pour la CNIL ? Quel accompagnement renforcé pour les entreprises et les structures concernées ? Quel droit à l'oubli post-mortem ? Et quelles échéances pour l'ordonnance, qui devra, en conformité avec le texte voté, dans une démarche purement légistique, permettre une clarification du droit pour les utilisateurs ?

...la rapporteure pour avis, chers collègues, la protection de la vie privée et des données personnelles de nos concitoyens représente, depuis de longues années déjà, un enjeu majeur des politiques publiques dans notre pays. L'adoption de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et la création de la Commission nationale de l'informatique et des libertés, dite CNIL, ont fait de la France l'un des pionniers, l'un des premiers pays au monde à se doter d'une législation et d'une autorité de contrôle indépendante sur ces questions. Certes, nous ne sommes plus dans le contexte très particulier de 1974, où les fichiers du système SAFARI défrayaient la chronique, permettant la création fort habile des premières autorités administratives indépendantes – rappelons-...

C'est donc le principe de responsabilité qui est mis en oeuvre, avec des contreparties importantes en termes de sanctions : jusqu'à 4 % du chiffre d'affaires ou 20 millions d'euros, bien loin des 150 000 euros maximum que la CNIL peut prononcer aujourd'hui. La question de la protection des données personnelles des particuliers suscite bien évidemment aussi le débat. À cet égard, le consentement des mineurs est un vrai sujet : quinze ans est l'âge retenu en commission, mais le débat n'est pas clos – des amendements proposent dix-huit ans, d'autres treize ans. Nous verrons ce que donnera ce débat, qui traverse aussi la soc...

...te du règlement et ainsi oeuvrer dans le sens de l'harmonisation européenne. Nous nous félicitons ainsi des aménagements concernant la coordination entre autorités nationales de protection des données, à travers le mécanisme d'autorité chef de file. Le dispositif nous semble de nature à faciliter les démarches pour les responsables de traitement et à favoriser le dialogue et la concertation entre CNIL européennes, nécessaires à l'émergence d'une jurisprudence cohérente et efficace à l'échelle de l'Union. Par ailleurs, le changement de paradigme dans les rapports des usagers avec la CNIL nous paraît tout à fait souhaitable. En passant d'une logique d'autorisation a priori à un contrôle a posteriori, on allège la charge de travail de la CNIL pour laisser les agents se concentrer sur d'autres mis...

...s européennes en matière de protection des données personnelles. Il est urgent de le faire, puisque le règlement européen s'appliquera d'office dans toute l'Europe à compter du 6 mai 2018. Le projet de loi qui nous est proposé vient donc toiletter la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Loi pionnière en Europe à l'époque, elle avait donné naissance à la CNIL et permis de responsabiliser les organismes mettant en oeuvre des traitements de données. Ce projet de loi est, madame la ministre, très complexe d'un point de vue juridique. De lecture difficile, il est fastidieux à étudier, dans une matière où seuls les spécialistes de la législation relative aux données personnelles se retrouvent. Nous risquons ainsi, mais j'y reviendrai au cours de mon inte...