Interventions sur "traitement"

En matière de profilage, il existe déjà de nombreuses protections. Il ne s'agit pas de l'interdire mais de permettre une transparence accrue afin que les citoyens comprennent ses tenants et ses aboutissants. Je défendrai ultérieurement un amendement visant à étendre au secteur privé le champ d'application des garanties relatives au traitement automatisé des données prévues par le projet de loi relatif au Plan d'action pour la croissance et la transformation des entreprises – PACTE – que présentera prochainement Bruno Le Maire. L'avis de la commission est donc défavorable.

J'estime comme vous, chère collègue, qu'un cadre protecteur est nécessaire. Néanmoins, le RGPD et le présent projet de loi en prévoient un, notamment en étendant le champ d'interdiction de traitement des données sensibles et en responsabilisant les entreprises, qu'ils obligent à recueillir le consentement explicite et éclairé des intéressés avant toute collecte de données. Par ailleurs, le projet de loi instaure un droit à l'oubli, un droit à la portabilité et un droit à la rectification. Ainsi, il fait du citoyen non plus un simple consommateur mais plutôt un « consommacteur », acteur de se...

...e nombre de pas avec le lieu d'habitation ou l'âge, on peut obtenir des données intéressant les assureurs, qui pourraient alors augmenter leurs tarifs sur la base de problèmes de santé potentiels – on peut tout imaginer. Interdire explicitement un tel croisement de données à des fins lucratives me semble nécessaire. Je m'étonne que cet amendement soit refusé. J'espérais qu'il ferait l'objet d'un traitement favorable, inspiré de l'exception Ruffin constatée tout à l'heure !

...t largement couverts par la « sphère de sécurité », le safe harbor. Aujourd'hui, le cadre réglementaire protège mieux les données des Européens ; le safe harbor a été remis en cause, et un nouvel accord, dit « bouclier "vie privée" » – EU-US Privacy Shield –, a été conclu entre les États-Unis et l'Union européenne. Il conviendra de suivre de près l'application de ce nouvel accord. La question du traitement des données une fois qu'elles ont été exportées est une vraie question ; j'estime que le changement de paradigme opéré par ce texte est suffisant, mais il faudra naturellement évaluer ce nouveau dispositif.

...isi cette possibilité pour mieux protéger les droits et libertés des citoyens en matière numérique. Depuis hier, et jusqu'à tard dans la nuit, vous vous êtes abrités derrière ce fameux RGPD, en prétendant qu'il était impossible d'accéder à nos demandes. Mais le 5. de l'article 36 de ce texte dispose que « Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d'une mission d'intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique ». Nous proposons donc que la loi précise les champs dits de « mission d'intérêt public », en ...

Nous allons proposer plusieurs amendements portant sur les données scolaires, afin de les protéger plus particulièrement. Mais il y a bien une volonté d'homogénéisation des traitements à l'échelle européenne, en évitant autant que possible les autorisations préalables.

...re du lieu de résidence de la personne concernée : ces règles s'appliqueront dès qu'un résident de l'Union est concerné, que les responsables soient établis ou pas dans l'Union européenne. Le règlement prévoit aussi, au bénéfice des États membres, une certaine souplesse dans des cas précis. L'article 8 garantit, pour notre droit national, la sécurité juridique nécessaire pour les responsables de traitements de données. Il prévoit enfin une dérogation pour les traitements de données personnelles réalisés à des fins journalistiques ou à des fins d'expression universitaire, artistique ou littéraire mettant en cause le droit à la liberté d'expression et d'information. Nous croyons au bien-fondé de la législation européenne, en particulier pour le numérique : c'est la meilleure voie pour allier sécuri...

L'article 9 permet une simplification administrative, mais aussi une responsabilisation des entreprises qui traitent des données. En effet, cet article supprime le régime de déclaration préalable des traitements de données à caractère personnel, prévu par les articles 22 à 24 de la loi du 6 janvier 1978. En vertu de ce régime, les organisations qui souhaitent exploiter des données personnelles de façon automatisée ont l'obligation de déposer une demande d'exploitation préalable auprès de la CNIL. Le dépôt de la demande ainsi que le délai de traitement nécessaire peuvent constituer un frein pour certain...

L'article 9 est l'un des principaux éléments du renversement du paradigme voulu par ce projet de loi. Les données personnelles vont connaître ce qu'ont vécu les collectivités territoriales en 1982 avec le passage d'un contrôle d'opportunité à un contrôle de légalité. C'est une vraie révolution, qui signe une confiance dans la donnée en tant qu'outil intrinsèque et dans les responsables de traitement qui n'en font pas mauvais usage par définition ou ne cherchent pas à les détourner à des fins insignifiantes pour le développement économique ou pour nos territoires. On peut se réjouir du passage d'une logique de défiance vis-à-vis du traitement de la donnée à une logique de confiance, laquelle est absolument nécessaire au XXIe siècle. La confiance n'exclut évidemment pas le contrôle. Mais il é...

L'article 9 relève le défi majeur de ce projet de loi : passer du contrôle a priori à un contrôle a posteriori s'agissant du régulateur ; passer d'une logique de déclaration à une logique de responsabilisation des acteurs. Concrètement, les responsables de traitement ne seront plus soumis à un régime de déclaration préalable, mais ils devront protéger les données dès la conception des outils et mener une étude d'impact afin de mesurer le risque que représente leur traitement des données. Dotée de pouvoirs accrus, la CNIL pourra par la suite, contrôler les responsables de traitement mais aussi les accompagner. En effet, les objectifs qui sous-tendent la nouve...

Je salue les avancées que comporte ce projet de loi. Toutefois, la question se pose des traitements en cours, pour lesquels il convient de prévoir un régime de transition. Cet amendement propose de considérer que les traitements qui ont été déclarés – ou a fortiori autorisés – avant l'entrée en vigueur du RGPD bénéficient d'une présomption de conformité.

Le règlement fixe déjà un délai. Aux termes du considérant 171, « Les traitements déjà en cours à la date d'application du présent règlement doivent être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur. » Nous avons également appris lors des auditions que la Commission européenne serait très attentive à empêcher l'instauration par les États membres de présomptions de conformité pour des cas particuliers. Enfin, nous savons que la CNIL a...

Cet amendement s'appuie sur les préconisations de l'association la Quadrature du net et sur une communication du directeur général de l'ANSSI – Agence nationale de la sécurité des systèmes d'information. Il prévoit une obligation pour les responsables de traitements et sous-traitants de chiffrer les données de bout en bout, chaque fois que cela est possible. En effet, le chiffrement de bout en bout permet de rendre les informations, les conversations en ligne, les SMS, les vidéos et les photos lisibles par les seuls destinataires visés. Il constitue aujourd'hui la méthode de cryptage la plus sûre et est donc susceptible de protéger la vie privée et les don...

Je défends et j'utilise régulièrement ce type de technologies. Mais le règlement européen fixe déjà des exigences élevées en matière de sécurité des traitements. L'article 32 prescrit ainsi la mise en oeuvre de mesures, notamment « la pseudonymisation et le chiffrement des données à caractère personnel » ; « des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement » ; « une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité » des ...

Cet amendement concerne les relations entre les responsables de traitement et les sous-traitants. Le chapitre IV du règlement décrit avec une extrême précision les domaines dans lesquels leur responsabilité est conjointe. Il prévoit la conclusion d'un contrat détaillé entre les parties. Non seulement les responsabilités partagées entre sous-traitants et responsables de traitement sont plus importantes, mais les sous-traitants peuvent aussi se voir requalifiés en respons...

Je présente un amendement assez similaire et qui sert le même objectif : nous proposons qu'il soit possible de recourir au médiateur des entreprises en cas de litige entre les responsables de traitements et leurs sous-traitants. Afin d'assurer une mise en oeuvre optimale du RGPD, il est capital que ces deux catégories d'acteurs aient des relations contractuelles équilibrées et de confiance. Comme l'a indiqué Mme Hennion, le chapitre IV du règlement définit très précisément leurs obligations et responsabilités respectives. Dans le souci d'accompagner nos entreprises, notamment nos PME, tout en re...

L'article 11 prévoit l'ouverture du traitement de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes à des personnes morales de droit privé. Si nous pouvons entendre l'argument selon lequel ces données seraient utiles, par exemple, aux associations d'aide aux victimes ou aux associations de réinsertion, nous estimons néanmoins que le dispositif ne contient pas de garanties suffisantes quant au carac...

Si nous ne sommes pas opposés à ce que les citoyens, les personnes physiques et morales concernées et requérantes ainsi que certains organismes privés spécifiques puissent mettre en place des traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté, nous estimons toutefois que la mention « sous le contrôle de l'autorité publique » soulève un vrai problème. En effet, par cette loi de transposition, le Gouvernement impulse une libéralisation du « fichage »…

… en facilitant l'accès aux données, la création d'un traitement étant plus aisée – l'activité principale de la CNIL devenant la supervision plutôt que l'autorisation – , et en ouvrant la possibilité à un plus grand nombre d'acteurs d'utiliser ces données. Comme le rappelle notre Livret numérique, nous nous opposons au fichage de masse tel que proposé par ce projet de loi. La rédaction actuelle de la loi de 1978, notamment son article 9, ne prévoyait pas une m...

Par cette loi de transposition, et sans que cela ait été explicitement prévu par la directive européenne 2016680 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, le Gouvernement a impulsé de lui-même une libéralisation du « fichage » en facilitant l'accès aux données – la création d'un traitement étant facilitée – et en ouvrant la possibilité à un plus grand nombre d'acteurs de les utiliser. Comme que le rappelle notre Livret numérique, nous nous opposons au fichage de masse tel que proposé par ce projet de loi. Dans ce...