Interventions sur "CNIL"

Avis défavorable. Nous avions également déjà discuté de cet amendement. Nous ne pouvons pas aller aussi loin que vous le proposez, madame Obono, car la CNIL doit respecter le secret des délibérés. En revanche, nous avions inscrit la publicité de l'ordre du jour de la CNIL dans le texte. Le Sénat l'avait retiré ; nous l'avons remis sur la table en commission. Le dispositif me semble donc suffisant.

J'entends le souci louable de Mme Obono, que je partage pour une large part. Je crains cependant qu'elle ne confonde les deux strates de la CNIL, laquelle comprend un collège général, dont les compétences découlent de la loi de 1978, telle que modifiée en 2004, et une formation restreinte, qui juge et prononce des sanctions. Concernant cette formation, il me semble important, dans l'intérêt des justiciables, de préserver le secret des délibérations…

...quand les sanctions, dépassant de beaucoup celles qui peuvent être prononcées aujourd'hui, pourront atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel consolidé des sociétés. De telles discussions ne peuvent être mises sur la place publique. Pour le reste, l'obligation de publicité existe. Outre les contraintes légales ou réglementaires, une part importante des délibérations de la CNIL est publiée au Journal officiel. C'est le cas de nombre d'avis sur des décrets et des autorisations uniques. La CNIL publie aussi un rapport annuel et organise régulièrement des conférences ici et là. Par conséquent, si nous sommes encore loin du souhait formulé par Mme Obono, l'époque où la transparence n'existait pas est révolue. Je rappelle qu'en 1978, on parlait à propos des autorités admini...

L'octroi à la CNIL du droit de prononcer des sanctions pécuniaires prend de nouvelles dimensions à la suite de la nouvelle répartition des compétences organisée par le projet de loi. Délaissant en grande partie sa compétence d'autorisation a priori pour se concentrer sur des fonctions de sanction a posteriori, la CNIL voit son rôle d'organe sanctionnant devenir l'une de ses premières missions. Bien que nous désappr...

Une fois encore, nous avons déjà eu cette discussion. Le RGPD indique à plusieurs reprises que les mesures de sanction doivent être appropriées, nécessaires et proportionnées. Je vous renvoie aux considérants 127, 148 et 151. Ces garanties me semblent suffisantes. Il faut aussi laisser à la CNIL des marges de manoeuvre dans le choix des sanctions. Avis défavorable.

Même si un plafond a été fixé, la CNIL comme les autorités de sanction européennes disposent désormais d'une arme véritable. Le montant de 20 millions est très élevé, surtout comparé à celui de 100 000 ou 150 000 euros, qui s'appliquait précédemment. En outre, la publicité de la sanction dépasse largement son aspect financier. Quand certains GAFA – je pense à Google en particulier – ont été sanctionnés par la CNIL, le retentissement ...

...es droits et libertés numériques. Aussi estimons-nous que les algorithmes utilisés dans la prise de décision publique doivent être soumis à un contrôle citoyen. Pour éviter les biais discriminants que peuvent introduire de nombreux algorithmes utilisés par les pouvoirs publics, nous considérons qu'un contrôle citoyen des algorithmes eux-mêmes doit être organisé avec les équipes d'inspection de la CNIL. Nous nous inspirons notamment des constats et conclusions du rapport sur les modalités de régulation des algorithmes de traitement des contenus remis à la secrétaire d'État chargée du numérique en mai 2016. L'introduction de ce contrôle permettrait de compléter une première ouverture importante introduite par la loi pour une République numérique, qui a conféré un droit d'accès et d'information ...

Madame Obono, comme souvent, je suis d'accord avec une grande partie de votre argumentaire, mais pas avec votre conclusion ; en l'occurrence, il ne me paraît pas utile d'inscrire ce dispositif dans la loi. Les personnes intéressées peuvent déjà accéder aux codes sources, aux algorithmes et étudier ces derniers dans différents cadres. Par exemple, la CNIL avait réalisé une étude sur APB – admission post-bac. Il serait intéressant que d'autres institutions, comme l'INRIA – Institut national de recherche en informatique et en automatique – , le CNNUM ou des associations le fassent également. Il n'est pas nécessaire, en tout état de cause, d'inscrire cette disposition dans la loi. Avis défavorable.

...uveau de la relative à l'orientation et à la réussite des étudiants. Il n'en demeure pas moins qu'elle a constitué une percée majeure et historique en matière de transparence. Avant, avec APB, l'algorithme et le code source n'étaient pas publiés, alors que les associations le réclamaient. Les pouvoirs publics ont été pressés par la commission d'accès aux documents administratifs – la CADA – et la CNIL de les publier, ce qu'ils avaient finalement fait, mais en version papier. Cela montre quel était alors l'engagement des pouvoirs publics pour la transparence des algorithmes. La nouvelle loi prévoit la transparence totale des critères d'affectation, puisqu'ils sont tous publics et consultables par tout un chacun sur la plateforme Parcoursup, filière par filière. Un amendement de notre collègue ...

Je suis, bien sûr, favorable à cet amendement. Alors que nous achevons l'examen du texte, je tiens simplement à appeler l'attention de M. le secrétaire d'État sur les moyens supplémentaires dont a besoin la CNIL. Ce sujet a été évoqué à plusieurs reprises lors de nos auditions. Au regard des ambitions du présent projet de loi, les responsables de la CNIL ont évidemment besoin de moyens supplémentaires. La demande nous semble raisonnable et légitime. On ne nous a pas demandé des moyens abracadabrantesques. Si M. le secrétaire d'État a besoin de notre soutien pour appuyer la demande auprès de Bercy, dont o...

...État, les droits et les obligations, sur la même ligne que la majorité en la matière, on devrait arriver à trouver la bonne solution. Avant que l'examen du texte ne s'achève, je voudrais appeler l'attention de la majorité, de la représentation nationale et du Gouvernement, notamment du ministre de l'économie et des finances, toujours plus difficile à convaincre, sur la nécessité de permettre à la CNIL d'assumer ses nouvelles fonctions. Les agents et collaborateurs des autorités de contrôle européennes sont deux fois, parfois trois fois plus nombreux, pour des missions identiques. Évidemment, mon propos n'est pas de demander un alignement sur les moyens des agences européennes, et ce n'est, du reste, pas ce que demande la CNIL. Cela n'aurait pas de sens, ici, maintenant et sans trajectoire cla...

...jours se donner les moyens de faire en sorte que celles-ci soient appliquées, ou à tout le moins que leur respect soit vérifié et son absence sanctionnée le cas échéant. Dans un État de droit, ne pas être en mesure de s'assurer de la pleine application de la loi affaiblit le pouvoir de celle-ci. Je joins donc ma voix à celle de nos collègues afin de rappeler que, si le renforcement du rôle de la CNIL est une bonne chose, il faut aussi renforcer les moyens dont celle-ci dispose pour exercer les compétences qu'on lui a conférées – faute de quoi, comme je l'ai indiqué tout à l'heure, on vote une loi qui est une épée de bois, ce qui affaiblit la crédibilité de l'État de droit.

Le Gouvernement ne semble pas décidé à utiliser tous les outils que lui procure la réglementation européenne, en particulier le règlement général de protection des données, qu'il s'agit pourtant ici de transposer dans le droit national. Se profile donc un risque important d'ouverture sauvage des données, sans même que la CNIL n'ait son mot à dire. Plusieurs angles morts perdurent, dont celui des énormes fichiers de l'Éducation nationale, qui répertorient des informations sur 12 millions d'élèves, mineurs pour l'écrasante majorité d'entre eux. Nous reprenons donc la proposition de bon sens, voire salutaire, de la Commission nationale consultative des droits de l'homme – CNCDH – , qui est une institution publique indép...

Cet amendement vise à intégrer la définition du consentement donnée par la CNIL et le groupe de travail de l'article 29 sur la protection des données – G29. Il vise à définir les qualités essentielles que doit revêtir le consentement au traitement des données personnelles : la loyauté, le caractère volontaire, libre, spécifique et informé. Le consentement doit être délivré de manière libre et spécifique, comme le réaffirme la CNIL dans l'article 6 de la norme simplifiée NS-4...

... ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». En 2004, la loi pour la confiance dans l'économie numérique donnait déjà une définition similaire : on entend par consentement « toute manifestation de volonté libre, spécifique et informée ». Ces formulations ne sont que des bases de travail, tant pour les opérateurs que pour la CNIL. Il me semble nécessaire de préciser ce qu'il est possible de faire et ce qu'il convient de ne pas faire pour être en accord avec ces principes, afin de protéger non seulement les personnes concernées, puisque les opérateurs, comme c'est le cas depuis la loi pour la confiance dans l'économie numérique, n'ont de cesse de trouver des artifices pour contourner ces principes et obtenir les consenteme...

La CNIL apportera des précisions sur l'application technique de la définition du consentement via des codes de bonne pratique, des référentiels et des outils de droit souple. En revanche, du fait que la technologie évolue rapidement, la loi doit rester technologiquement neutre, ce qui permet de donner plus de flexibilité aux acteurs et à l'autorité de régulation.

Madame Ménard, je tiens à vous préciser que les GAFA, qui ont aussi été auditionnés, ne proposaient pas de fixer l'âge de la majorité numérique à quinze ans. En outre, nous souhaitons renforcer véritablement l'information et la formation des mineurs ; dans ce cadre, la CNIL, l'éducation nationale, bien sûr, mais aussi les opérateurs eux-mêmes joueront un rôle important, sur lequel nous reviendrons dans quelques instants. Encore fallait-il fixer une règle pour que chacun connaisse les limites et l'âge à partir duquel nous pourrons nous en remettre à la maturité des adolescents. Nous avons donc fixé cet âge à quinze ans. Nous avions également pensé à trente-cinq ans, ...

...spond donc pas à la réalité. Une majorité numérique fixée à treize ans, assortie d'un certain nombre de protections, se justifierait par le fait que c'est à partir de cet âge que les jeunes s'impliquent de plus en plus sur les réseaux sociaux. Comme cela a été dit, d'autres pays ont déjà fixé la majorité numérique à treize ans en partant du même constat. Par ailleurs, il convient de confier à la CNIL une mission d'information du public – nous en avons déjà discuté lors de l'examen d'autres amendements. Les responsables du traitement des données doivent se voir imposer l'obligation ferme d'informer le mineur concerné par une explication adaptée et d'utiliser à cet effet le support adéquat ; cette obligation doit être doublée de sanctions importantes qui constitueront des garde-fous et garantir...

...adolescents et les adolescents, le fait d'avoir la majorité numérique dès treize ans constituerait peut-être une forme d'apprentissage, une manière d'être plus responsables ; cela fait partie d'un processus pédagogique et, de manière générale, cela s'inscrit dans les positions que nous défendons en matière de droits et libertés, d'autonomie et d'éducation numérique. Dans un cadre déterminé par la CNIL, dont les moyens seraient renforcés, l'accès aux réseaux sociaux s'inscrirait dans un processus éducatif, pédagogique ; il favoriserait également l'autonomie des adolescents et préadolescents et leur donnerait les moyens de s'émanciper en utilisant internet. Je pense donc qu'il s'agit d'une incompréhension dommageable de votre part, car ce sont, au contraire, des protections qui permettent l'éma...

...a garde des sceaux, d'examiner d'ici à quelques semaines dans le cadre d'autres débats. Nous anticipons donc sur certains de ces débats et sur les âges qui pourraient être fixés alors. Au-delà de l'âge que nous fixerons ce soir, ce qui importe est que le débat reste ouvert et, en quelque sorte, que l'alerte soit donnée quant aux besoins des utilisateurs en termes de protection et d'éducation. La CNIL a certes, et nous en convenons tous, un rôle important à jouer en la matière, mais cette mission d'éducation et d'intérêt général et collectif dépasse largement ses compétences et ses pouvoirs. Ce sont l'éducation nationale, les parents et les familles – en un mot : la société – qui doivent éduquer aux bonheurs – bien sûr – du numérique, mais aussi à ses risques. Là encore, les réseaux, le numéri...