Interventions sur "traitement"

Si nous ne sommes pas opposés à ce que les citoyens, les personnes physiques et morales concernées et requérantes ainsi que certains organismes privés spécifiques puissent mettre en place des traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté, nous estimons toutefois que la mention « sous le contrôle de l'autorité publique » soulève un vrai problème. En effet, par cette loi de transposition, le Gouvernement impulse une libéralisation du « fichage »…

… en facilitant l'accès aux données, la création d'un traitement étant plus aisée – l'activité principale de la CNIL devenant la supervision plutôt que l'autorisation – , et en ouvrant la possibilité à un plus grand nombre d'acteurs d'utiliser ces données. Comme le rappelle notre Livret numérique, nous nous opposons au fichage de masse tel que proposé par ce projet de loi. La rédaction actuelle de la loi de 1978, notamment son article 9, ne prévoyait pas une m...

Par cette loi de transposition, et sans que cela ait été explicitement prévu par la directive européenne 2016680 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, le Gouvernement a impulsé de lui-même une libéralisation du « fichage » en facilitant l'accès aux données – la création d'un traitement étant facilitée – et en ouvrant la possibilité à un plus grand nombre d'acteurs de les utiliser. Comme que le rappelle notre Livret numérique, nous nous opposons au fichage de masse tel que proposé par ce projet de loi. Dans ce...

...s comme des données de santé si elles permettent, en elles-mêmes ou combinées avec d'autres, de tirer des conclusions sur l'état de santé ou les risques de santé d'une personne. Le nouveau régime prévu combine protection élevée des données de santé et responsabilisation des acteurs. Conformément à l'esprit du règlement, la nouvelle logique de responsabilisation conduit à supprimer la plupart des traitements préalables, y compris pour les données de santé. Cet objectif fait un principe de la déclaration de conformité aux référentiels, aux méthodologies de référence et au respect des règlements types, et une exception de l'autorisation par la CNIL. En tout état de cause, le projet de loi maintient le délai de deux mois dans lequel la commission est amenée à se prononcer. Surtout, il en modifie la po...

Cet article remplace les autorisations délivrées par la CNIL pour le traitement des données de santé par une série de règlements types que les acteurs « doivent » respecter – si jamais contrôle il y a… sachant que le contrôle de la CNIL ne s'effectuera plus qu'a posteriori. Nous estimons qu'en fait cela fragilise les prérogatives de la CNIL – il s'agit clairement d'une mesure de libéralisation – et nous y sommes d'autant moins favorables que, nous le savons, les données de ...

Je confirme tout ce que vient de dire Mme la rapporteure. Pour accéder à ce titre, dans la rédaction actuelle, il faut justifier d'une finalité d'intérêt public. Or le RGPD évoque des traitements rendus nécessaires « pour des motifs d'intérêt public dans le domaine de la santé public, tels que la protection contre les menaces transfrontalières graves pesant sur la santé » ou – j'insiste sur ce « ou » – « aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux ». Quand on passe d'un texte qui permet A ou B à un t...

Cet amendement a pour objet de revenir au droit en vigueur, qui prévoit que l'Institut national des données de santé – INDS – est compétent pour émettre un avis sur le caractère d'intérêt public que présente une recherche, une étude ou une évaluation portant sur des données personnelles en matière de santé. En effet, l'extension de cet avis à l'ensemble des traitements de données de santé alourdirait les procédures actuelles d'accès à ces données et allongerait les délais de réponse aux demandes d'autorisation adressées à la CNIL. Le représentant de l'INDS que nous avons auditionné nous a indiqué que l'INDS remettait ses avis dans un délai de deux mois. Or le projet de loi prévoit que la CNIL donne un avis dans un délai de deux mois, renouvelable une fois, ce...

... y a quelques jours, à l'une des séances régulières du groupe de travail qui associe l'Académie des sciences et l'Académie de médecine sur le thème du mariage entre algorithmique et santé – groupe de travail que j'ai cofondé il y a quelques années. J'en ai profité pour sonder les membres de l'Académie de médecine qui étaient présents sur l'opportunité d'accroître le rôle de l'INDS dans le cas des traitements de santé. Or les avis ont été quasi unanimes. La procédure actuelle, qui limite le rôle de l'INDS aux questions de recherche, n'a jamais donné lieu à aucun scandale et n'a jamais eu aucun caractère problématique. Tous s'accordent à dire que le droit actuel est plutôt trop contraignant et qu'il importe de raccourcir les délais et de simplifier les procédures. Puisque l'ensemble du projet de loi ...

...nées aux fins de recherche ou d'innovation, mais à renforcer la notion de consentement telle qu'elle ressort du règlement 2016679 du Parlement européen et du Conseil du 27 avril 2016. Un de ses considérants indique en effet que : « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre ...

...ions se déroulent dans un esprit de consensus, en bonne intelligence. Cependant, j'appelle votre attention sur un vrai bémol, sur une occasion manquée : celle de l'innovation. Le RGPD prévoit en effet plus de cinquante possibilités pour les États membres d'assouplir certaines de leurs obligations. Parmi celles-ci figure la possibilité de favoriser le big data, en facilitant la mise en oeuvre des traitements des données à des fins statistiques. Vous le savez, nous connaissons aujourd'hui un déluge de données, leur volume doublant tous les vingt-quatre mois. Faciliter leur analyse, chercher des corrélations inédites, favoriser l'émergence de services innovants, c'est l'enjeu du big data aujourd'hui, et c'est la condition de l'intelligence artificielle de demain. En renonçant à exploiter cette possib...

...matière. Avec ce nouveau texte, la CNIL, autorité administrative indépendante, mais qui peut être qualifiée de juge de la conformité, va jouer un rôle encore plus essentiel dans la protection des données personnelles des personnes concernées, notamment parce que son pouvoir de sanction sera plus dissuasif grâce à l'augmentation de l'amende administrative qu'elle pourra infliger au responsable du traitement mais aussi au sous-traitant. S'il me paraît indispensable de responsabiliser davantage les organisations publiques et privées de la donnée, en renforçant leurs obligations en matière de transparence et de respect des droits des personnes, je crois aussi important de permettre une action de groupe réparatrice des préjudices subis. En effet, il est temps de mettre un frein à la toute-puissance des...

Nous ne désespérions pas de vous convaincre, c'est pourquoi nous avons reproposé cet amendement. Je pense que nous serons d'accord sur le fait qu'il s'agit d'un enjeu majeur aujourd'hui, en termes économiques mais aussi politiques. Nous n'intentons pas de procès en bonne ou en mauvaise foi, mais nous savons les enjeux économiques du traitement des données et de leur protection, et nous savons aussi que chez les acteurs de ce secteur, le profit et la rentabilité – fort logiquement, c'est leur nature – prévalent sur toute autre considération. Il nous semble qu'en refusant cet amendement, vous n'accordez pas les moyens à la communauté nationale, à travers la CNIL, d'encadrer leurs activités et d'être à la hauteur des enjeux du XXIe siècl...

Il s'agit également d'un amendement de précision, qui vise à protéger le traitement des données des mineurs de moins de quinze ans. En effet, la précision « moins de quinze ans » n'avait pas été apportée dans le texte initial. Ce sujet a été abordé dans la discussion générale.

... protection des données, notamment en matière de finalité, de minimisation des données ou de respect des droits, devraient faire l'objet d'un encadrement par des règles de fond et pas uniquement des règles de sécurité. Le 4. de l'article 9 du règlement prévoit une telle marge de manoeuvre. En précisant que les règlements types peuvent ne pas uniquement concerner la seule sécurité des systèmes de traitement, mais être relatifs à d'autres éléments tels que le respect des libertés et des droits, la CNIL peut ainsi jouer un rôle accru pour cadrer la création de nombreux systèmes de traitement de données. En limitant la CNIL à la possibilité d'édicter des règlements types pour la sécurité des systèmes, le Gouvernement nie tout son rôle de protection des droits et l'importance des enjeux. Cet amendement ...

L'amendement no 38 propose d'étendre l'établissement de règlements types en matière de génétique, biométrique et de santé aux traitements de données mis en oeuvre pour le compte de l'État. Mais ceux-ci sont soumis à un régime d'autorisation préalable, par un décret en Conseil d'État pris après avis de la CNIL, qui sera publié. Il s'agit d'un régime plus protecteur, justifiant que ces règlements types fassent l'objet d'une exception. L'avis de la commission sur l'amendement no 38 est donc défavorable.

L'alinéa 11 de l'article 1er prévoit que la CNIL établit et publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel, d'une part, et d'autre part de régir les traitements de données biométriques, génétiques et de santé. À ce titre, elle peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé, conformément à l'article 9 du règlement européen, et des données relatives aux infractions pénales, c...

...s de la mise à disposition de données personnelles – pensées, photos – sur des sites internet ou des applications qui les conservent – Facebook, Linkedin – ou collectées en masse ; ou encore à une bonne information quant aux moyens de faire valoir ses droits – droit d'accès, de rectification, d'opposition, droit au déréférencement – notamment pour les personnes au sujet desquelles les systèmes de traitements de données contiennent des données erronées ou ne devant pas y figurer, avec pour conséquence d'entraver leurs projets. La loi actuelle reste en effet trop vague. L'article 11 de la loi de 1978 dispose seulement que la CNIL « informe toutes les personnes concernées ». Cet amendement permet aussi de donner les moyens et le cadre juridique à la CNIL pour renforcer le rôle du collectif EDUCNUM, qu...

Je voudrais rappeler l'encadrement prévu pour le traitement de ce type de données. Pour le secteur public, une autorisation préalable est exigée, avec un avis de la CNIL, celle-ci pouvant également exercer un contrôle a posteriori. Pour le secteur privé, ce sont les règlements type qui encadrent le traitement de ce type de données. Les utilisations que vous mentionnez sont permises, mais elles sont davantage encadrées afin de garantir la protection des do...

Je voudrais rappeler que l'objectif de cette disposition était de s'assurer que la CNIL puisse s'appuyer sur des compétences techniques. Aujourd'hui, un seul développeur siège au sein de la CNIL, les autres membres étant des juristes. Or, il est nécessaire que le traitement et la manipulation des données soient compris. Par ailleurs, il n'est question ici que de cinq membres de la CNIL sur dix-huit. Il me semble préférable d'en profiter pour rééquilibrer la composition de cette institution en faveur des compétences techniques qui manquent aujourd'hui, les autres membres étant issus de hautes juridictions et autres.

Les données classifiées comme sensibles ou personnelles le sont pour des raisons de confidentialité d'une part, et de lutte contre les discriminations d'autre part, les deux impératifs ne s'excluant pas l'un l'autre. Or de nombreuses données sensibles sont ainsi classifiées car elles sont habitées de significations sociales particulières et qu'elles peuvent entraîner un traitement différencié défavorable. En cela, le monde numérique est un miroir, un prolongement de notre réalité physique. Les recherches récentes montrent que les algorithmes peuvent produire ou reproduire certaines associations discriminantes. Cet amendement vise à faire de la CNIL une force d'impulsion dans l'information et la formation, afin de lutter contre ce phénomène pouvant avoir des conséquences g...