Interventions sur "CNIL"

Cet amendement va à l'encontre de la logique du RGPD. Nous voulons limiter autant que possible les autorisations préalables pour aller vers une responsabilisation des acteurs. Le contrôle se fait alors à l'intérieur des entreprises – délégués à la protection des données personnelles, catalogues de bonnes pratiques… – mais aussi, de façon accrue, par la CNIL, avec des sanctions assez lourdes. C'est ainsi que les acteurs fourniront un effort continu de sécurisation des données, et suivront les évolutions technologiques dans le domaine de la protection des données personnelles. Nous n'entendons pas revenir sur cette philosophie ; la CNIL souscrit à l'orientation générale du projet de loi, qui est de ne pas inscrire dans la loi française toutes les mar...

...prises qui traitent des données. En effet, cet article supprime le régime de déclaration préalable des traitements de données à caractère personnel, prévu par les articles 22 à 24 de la loi du 6 janvier 1978. En vertu de ce régime, les organisations qui souhaitent exploiter des données personnelles de façon automatisée ont l'obligation de déposer une demande d'exploitation préalable auprès de la CNIL. Le dépôt de la demande ainsi que le délai de traitement nécessaire peuvent constituer un frein pour certaines entreprises. Nous souhaitons donc abandonner la logique rigide de contrôle a priori au profit d'une logique plus souple et plus efficace de contrôle a posteriori. La suppression de l'autorisation préalable de la CNIL ne constitue en aucun cas une licence d'exploitation sans limites des...

...u régulateur ; passer d'une logique de déclaration à une logique de responsabilisation des acteurs. Concrètement, les responsables de traitement ne seront plus soumis à un régime de déclaration préalable, mais ils devront protéger les données dès la conception des outils et mener une étude d'impact afin de mesurer le risque que représente leur traitement des données. Dotée de pouvoirs accrus, la CNIL pourra par la suite, contrôler les responsables de traitement mais aussi les accompagner. En effet, les objectifs qui sous-tendent la nouvelle logique de régulation nécessitent un renforcement des capacités opérationnelles de la CNIL tant pour l'accompagnement que pour le contrôle. Par ailleurs, l'article 9 maintient un régime d'autorisation préalable dans deux cas : lors de traitements mis en ...

...tements déjà en cours à la date d'application du présent règlement doivent être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur. » Nous avons également appris lors des auditions que la Commission européenne serait très attentive à empêcher l'instauration par les États membres de présomptions de conformité pour des cas particuliers. Enfin, nous savons que la CNIL adoptera, de manière informelle, une approche non pas de sanction mais plutôt d'accompagnement des acteurs pour les aider à se mettre en conformité. Pour ces raisons, mon avis sera défavorable sur les deux amendements.

...nsi la mise en oeuvre de mesures, notamment « la pseudonymisation et le chiffrement des données à caractère personnel » ; « des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement » ; « une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité » des mesures. Par ailleurs, la CNIL s'est vue confier en 2016 une mission spécifique de promotion de ces technologies. Un travail de fond est en cours. J'émets donc un avis défavorable.

...ir requalifiés en responsables de traitement. Dès lors, les occasions de conflit au cours de l'exécution des contrats risquent d'être très nombreuses. Comme je l'ai fait par des amendements précédents, je préconise donc, en cas de différend entre responsable de traitement et sous-traitant, de favoriser l'intervention d'un médiateur. Une telle procédure, extérieure au processus de contrôle par la CNIL, n'apparaît pas à ce stade dans le projet de loi.

Mes amendements précédents relatifs à la médiation concernaient le cas très différent des relations entre les entreprises et les particuliers. La mise en place de la médiation préconisée dans le cas présent impliquerait que la CNIL forme les médiateurs et, éventuellement, qu'elle signe un accord avec le médiateur des entreprises, comme l'ont déjà fait l'Autorité de régulation des communication électroniques et des postes et l'Institut national de la propriété industrielle. Cela vaudrait donc le coup d'introduire un renvoi au droit commun qui encouragerait la CNIL dans ce sens. J'apprécierais que nous continuions à travaille...

...n site internet donné, plus son prix risque d'augmenter artificiellement du fait de cette consultation. Le prix fluctue en fonction de l'intensité du besoin de la personne. La souplesse des marchés est devenue telle que le consommateur est désarmé dans son face-à-face avec l'offre. Les données personnelles et les traces qu'il laisse sont utilisées contre lui. Ce n'est pas moi qui le dis, mais la CNIL ou encore la direction générale de la concurrence, de la consommation et de la répression des fraudes dans un rapport publié en 2014. Les propres données du consommateur deviennent son stigmate. Cette méthode peut s'avérer plus pernicieuse encore : si jamais le consommateur considère qu'un bien est trop cher pour son budget, l'IP tracking permet de cibler les publicités qui seront matraquées sur...

… en facilitant l'accès aux données, la création d'un traitement étant plus aisée – l'activité principale de la CNIL devenant la supervision plutôt que l'autorisation – , et en ouvrant la possibilité à un plus grand nombre d'acteurs d'utiliser ces données. Comme le rappelle notre Livret numérique, nous nous opposons au fichage de masse tel que proposé par ce projet de loi. La rédaction actuelle de la loi de 1978, notamment son article 9, ne prévoyait pas une mention sibylline telle que « sous le contrôle de l'a...

...et responsabilisation des acteurs. Conformément à l'esprit du règlement, la nouvelle logique de responsabilisation conduit à supprimer la plupart des traitements préalables, y compris pour les données de santé. Cet objectif fait un principe de la déclaration de conformité aux référentiels, aux méthodologies de référence et au respect des règlements types, et une exception de l'autorisation par la CNIL. En tout état de cause, le projet de loi maintient le délai de deux mois dans lequel la commission est amenée à se prononcer. Surtout, il en modifie la portée puisque l'absence de décision est réputée favorable. En ma qualité de rapporteure pour avis sur cet article, j'estime que ce renversement de perspective est important pour que notre pays conserve le leadership en matière d'exploitation de...

Cet article remplace les autorisations délivrées par la CNIL pour le traitement des données de santé par une série de règlements types que les acteurs « doivent » respecter – si jamais contrôle il y a… sachant que le contrôle de la CNIL ne s'effectuera plus qu'a posteriori. Nous estimons qu'en fait cela fragilise les prérogatives de la CNIL – il s'agit clairement d'une mesure de libéralisation – et nous y sommes d'autant moins favorables que, nous le savo...

Je tiens d'abord à préciser que nous n'affaiblissons pas la CNIL : …

...s dispositifs médicaux ». Quand on passe d'un texte qui permet A ou B à un texte qui permet seulement A, les acteurs qui examinent ce texte avec attention – et je pense en particulier aux start-up – doivent se dire qu'il y a une volonté, de la part du pouvoir français, de durcir le droit par rapport à ce que dispose le RGPD. Cette inquiétude a été exprimée explicitement par le représentant de la CNIL que nous avons auditionné. Celui-ci n'a pas fait mystère de ce que, dans son esprit, la question de la haute qualité des normes était incluse implicitement dans la notion d'intérêt public. Dans ce cas, pourquoi ne pas l'indiquer explicitement et, ainsi, rassurer les acteurs privés sur le fait que ce texte ne les contraindra pas davantage que le droit européen ?

...mpétent pour émettre un avis sur le caractère d'intérêt public que présente une recherche, une étude ou une évaluation portant sur des données personnelles en matière de santé. En effet, l'extension de cet avis à l'ensemble des traitements de données de santé alourdirait les procédures actuelles d'accès à ces données et allongerait les délais de réponse aux demandes d'autorisation adressées à la CNIL. Le représentant de l'INDS que nous avons auditionné nous a indiqué que l'INDS remettait ses avis dans un délai de deux mois. Or le projet de loi prévoit que la CNIL donne un avis dans un délai de deux mois, renouvelable une fois, ce qui fait un délai maximum de quatre mois. Dans le secteur de la santé, de nombreuses start-up, notamment celles qui travaillent dans le domaine de l'intelligence a...

Permettez-moi d'insister, madame la ministre : la CNIL co-construit déjà la notion d'intérêt public avec l'INDS. Elle a développé une véritable expertise dans ce domaine, ces dernières années, et il nous semble que ce serait faire doublon que d'exiger que l'INDS, puis la CNIL, procèdent à un tel contrôle. Par ailleurs, une collaboration informelle mais très régulière s'est développée entre l'INDS et la CNIL, ce qui permet d'éclairer des points litig...

Madame la présidente, madame la ministre, mes chers collègues, notre pays s'est toujours montré soucieux d'accompagner les évolutions en matière informatique, et aujourd'hui numérique, dans le respect des droits des personnes. Avec l'Allemagne, il a d'ailleurs été un précurseur en la matière. Avec ce nouveau texte, la CNIL, autorité administrative indépendante, mais qui peut être qualifiée de juge de la conformité, va jouer un rôle encore plus essentiel dans la protection des données personnelles des personnes concernées, notamment parce que son pouvoir de sanction sera plus dissuasif grâce à l'augmentation de l'amende administrative qu'elle pourra infliger au responsable du traitement mais aussi au sous-traitant. ...

Ce projet de loi modifie les missions de la CNIL, qui passe d'une mission principielle d'autorisation a priori à un contrôle a posteriori de supervision. Cela fait donc reposer la mission de garantie des droits fondamentaux en matière numérique, en premier lieu, sur les acteurs et les actrices de ce secteur. Vous venez de nous dire, madame la ministre, que nous entretenions un désaccord philosophique sur le sujet. Vous considérez que responsab...

Madame Obono, nous avons changé de paradigme. Les prises de parole au cours de la discussion générale ont montré l'existence d'un consensus pour aller dans ce sens, et cela a déjà été tranché au niveau européen. Il nous serait donc difficile de revenir dessus. Les nouveaux rôles de la CNIL en termes d'accompagnement des entreprises, de mise en place d'un droit souple, sa mission de guide, devraient aider tous les acteurs à assurer la mise en conformité. Les acteurs pourront, au fur et à mesure, comprendre quelles sont ces nouvelles obligations. L'avis de la commission est donc défavorable.

... bonne ou en mauvaise foi, mais nous savons les enjeux économiques du traitement des données et de leur protection, et nous savons aussi que chez les acteurs de ce secteur, le profit et la rentabilité – fort logiquement, c'est leur nature – prévalent sur toute autre considération. Il nous semble qu'en refusant cet amendement, vous n'accordez pas les moyens à la communauté nationale, à travers la CNIL, d'encadrer leurs activités et d'être à la hauteur des enjeux du XXIe siècle en matière de numérique et de protection. Un changement qualitatif du rôle de la CNIL doit passer, comme cela se fait dans d'autres pays, par un renforcement de ses moyens lui permettant d'être à la hauteur de cette question extrêmement importante de la protection de la vie privée, d'enjeux économiques et de droits pour ...

Dans son avis du 30 novembre 2017, la CNIL regrette que l'objet des règlements types prévus à l'article 1er du projet de loi soit limité à la seule sécurité des systèmes. En effet, d'autres dimensions de la protection des données, notamment en matière de finalité, de minimisation des données ou de respect des droits, devraient faire l'objet d'un encadrement par des règles de fond et pas uniquement des règles de sécurité. Le 4. de l'articl...