Interventions sur "traitement"

...s comme des données de santé si elles permettent, en elles-mêmes ou combinées avec d'autres, de tirer des conclusions sur l'état de santé ou les risques de santé d'une personne. Le nouveau régime prévu combine protection élevée des données de santé et responsabilisation des acteurs. Conformément à l'esprit du règlement, la nouvelle logique de responsabilisation conduit à supprimer la plupart des traitements préalables, y compris pour les données de santé. Cet objectif fait un principe de la déclaration de conformité aux référentiels, aux méthodologies de référence et au respect des règlements types, et une exception de l'autorisation par la CNIL. En tout état de cause, le projet de loi maintient le délai de deux mois dans lequel la commission est amenée à se prononcer. Surtout, il en modifie la po...

Cet article remplace les autorisations délivrées par la CNIL pour le traitement des données de santé par une série de règlements types que les acteurs « doivent » respecter – si jamais contrôle il y a… sachant que le contrôle de la CNIL ne s'effectuera plus qu'a posteriori. Nous estimons qu'en fait cela fragilise les prérogatives de la CNIL – il s'agit clairement d'une mesure de libéralisation – et nous y sommes d'autant moins favorables que, nous le savons, les données de ...

Je confirme tout ce que vient de dire Mme la rapporteure. Pour accéder à ce titre, dans la rédaction actuelle, il faut justifier d'une finalité d'intérêt public. Or le RGPD évoque des traitements rendus nécessaires « pour des motifs d'intérêt public dans le domaine de la santé public, tels que la protection contre les menaces transfrontalières graves pesant sur la santé » ou – j'insiste sur ce « ou » – « aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux ». Quand on passe d'un texte qui permet A ou B à un t...

Cet amendement a pour objet de revenir au droit en vigueur, qui prévoit que l'Institut national des données de santé – INDS – est compétent pour émettre un avis sur le caractère d'intérêt public que présente une recherche, une étude ou une évaluation portant sur des données personnelles en matière de santé. En effet, l'extension de cet avis à l'ensemble des traitements de données de santé alourdirait les procédures actuelles d'accès à ces données et allongerait les délais de réponse aux demandes d'autorisation adressées à la CNIL. Le représentant de l'INDS que nous avons auditionné nous a indiqué que l'INDS remettait ses avis dans un délai de deux mois. Or le projet de loi prévoit que la CNIL donne un avis dans un délai de deux mois, renouvelable une fois, ce...

... y a quelques jours, à l'une des séances régulières du groupe de travail qui associe l'Académie des sciences et l'Académie de médecine sur le thème du mariage entre algorithmique et santé – groupe de travail que j'ai cofondé il y a quelques années. J'en ai profité pour sonder les membres de l'Académie de médecine qui étaient présents sur l'opportunité d'accroître le rôle de l'INDS dans le cas des traitements de santé. Or les avis ont été quasi unanimes. La procédure actuelle, qui limite le rôle de l'INDS aux questions de recherche, n'a jamais donné lieu à aucun scandale et n'a jamais eu aucun caractère problématique. Tous s'accordent à dire que le droit actuel est plutôt trop contraignant et qu'il importe de raccourcir les délais et de simplifier les procédures. Puisque l'ensemble du projet de loi ...

...nées aux fins de recherche ou d'innovation, mais à renforcer la notion de consentement telle qu'elle ressort du règlement 2016679 du Parlement européen et du Conseil du 27 avril 2016. Un de ses considérants indique en effet que : « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre ...

...ions se déroulent dans un esprit de consensus, en bonne intelligence. Cependant, j'appelle votre attention sur un vrai bémol, sur une occasion manquée : celle de l'innovation. Le RGPD prévoit en effet plus de cinquante possibilités pour les États membres d'assouplir certaines de leurs obligations. Parmi celles-ci figure la possibilité de favoriser le big data, en facilitant la mise en oeuvre des traitements des données à des fins statistiques. Vous le savez, nous connaissons aujourd'hui un déluge de données, leur volume doublant tous les vingt-quatre mois. Faciliter leur analyse, chercher des corrélations inédites, favoriser l'émergence de services innovants, c'est l'enjeu du big data aujourd'hui, et c'est la condition de l'intelligence artificielle de demain. En renonçant à exploiter cette possib...

...matière. Avec ce nouveau texte, la CNIL, autorité administrative indépendante, mais qui peut être qualifiée de juge de la conformité, va jouer un rôle encore plus essentiel dans la protection des données personnelles des personnes concernées, notamment parce que son pouvoir de sanction sera plus dissuasif grâce à l'augmentation de l'amende administrative qu'elle pourra infliger au responsable du traitement mais aussi au sous-traitant. S'il me paraît indispensable de responsabiliser davantage les organisations publiques et privées de la donnée, en renforçant leurs obligations en matière de transparence et de respect des droits des personnes, je crois aussi important de permettre une action de groupe réparatrice des préjudices subis. En effet, il est temps de mettre un frein à la toute-puissance des...

Nous ne désespérions pas de vous convaincre, c'est pourquoi nous avons reproposé cet amendement. Je pense que nous serons d'accord sur le fait qu'il s'agit d'un enjeu majeur aujourd'hui, en termes économiques mais aussi politiques. Nous n'intentons pas de procès en bonne ou en mauvaise foi, mais nous savons les enjeux économiques du traitement des données et de leur protection, et nous savons aussi que chez les acteurs de ce secteur, le profit et la rentabilité – fort logiquement, c'est leur nature – prévalent sur toute autre considération. Il nous semble qu'en refusant cet amendement, vous n'accordez pas les moyens à la communauté nationale, à travers la CNIL, d'encadrer leurs activités et d'être à la hauteur des enjeux du XXIe siècl...

Il s'agit également d'un amendement de précision, qui vise à protéger le traitement des données des mineurs de moins de quinze ans. En effet, la précision « moins de quinze ans » n'avait pas été apportée dans le texte initial. Ce sujet a été abordé dans la discussion générale.

... protection des données, notamment en matière de finalité, de minimisation des données ou de respect des droits, devraient faire l'objet d'un encadrement par des règles de fond et pas uniquement des règles de sécurité. Le 4. de l'article 9 du règlement prévoit une telle marge de manoeuvre. En précisant que les règlements types peuvent ne pas uniquement concerner la seule sécurité des systèmes de traitement, mais être relatifs à d'autres éléments tels que le respect des libertés et des droits, la CNIL peut ainsi jouer un rôle accru pour cadrer la création de nombreux systèmes de traitement de données. En limitant la CNIL à la possibilité d'édicter des règlements types pour la sécurité des systèmes, le Gouvernement nie tout son rôle de protection des droits et l'importance des enjeux. Cet amendement ...

L'amendement no 38 propose d'étendre l'établissement de règlements types en matière de génétique, biométrique et de santé aux traitements de données mis en oeuvre pour le compte de l'État. Mais ceux-ci sont soumis à un régime d'autorisation préalable, par un décret en Conseil d'État pris après avis de la CNIL, qui sera publié. Il s'agit d'un régime plus protecteur, justifiant que ces règlements types fassent l'objet d'une exception. L'avis de la commission sur l'amendement no 38 est donc défavorable.

L'alinéa 11 de l'article 1er prévoit que la CNIL établit et publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel, d'une part, et d'autre part de régir les traitements de données biométriques, génétiques et de santé. À ce titre, elle peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé, conformément à l'article 9 du règlement européen, et des données relatives aux infractions pénales, c...

...s de la mise à disposition de données personnelles – pensées, photos – sur des sites internet ou des applications qui les conservent – Facebook, Linkedin – ou collectées en masse ; ou encore à une bonne information quant aux moyens de faire valoir ses droits – droit d'accès, de rectification, d'opposition, droit au déréférencement – notamment pour les personnes au sujet desquelles les systèmes de traitements de données contiennent des données erronées ou ne devant pas y figurer, avec pour conséquence d'entraver leurs projets. La loi actuelle reste en effet trop vague. L'article 11 de la loi de 1978 dispose seulement que la CNIL « informe toutes les personnes concernées ». Cet amendement permet aussi de donner les moyens et le cadre juridique à la CNIL pour renforcer le rôle du collectif EDUCNUM, qu...

Je voudrais rappeler l'encadrement prévu pour le traitement de ce type de données. Pour le secteur public, une autorisation préalable est exigée, avec un avis de la CNIL, celle-ci pouvant également exercer un contrôle a posteriori. Pour le secteur privé, ce sont les règlements type qui encadrent le traitement de ce type de données. Les utilisations que vous mentionnez sont permises, mais elles sont davantage encadrées afin de garantir la protection des do...

Je voudrais rappeler que l'objectif de cette disposition était de s'assurer que la CNIL puisse s'appuyer sur des compétences techniques. Aujourd'hui, un seul développeur siège au sein de la CNIL, les autres membres étant des juristes. Or, il est nécessaire que le traitement et la manipulation des données soient compris. Par ailleurs, il n'est question ici que de cinq membres de la CNIL sur dix-huit. Il me semble préférable d'en profiter pour rééquilibrer la composition de cette institution en faveur des compétences techniques qui manquent aujourd'hui, les autres membres étant issus de hautes juridictions et autres.

Les données classifiées comme sensibles ou personnelles le sont pour des raisons de confidentialité d'une part, et de lutte contre les discriminations d'autre part, les deux impératifs ne s'excluant pas l'un l'autre. Or de nombreuses données sensibles sont ainsi classifiées car elles sont habitées de significations sociales particulières et qu'elles peuvent entraîner un traitement différencié défavorable. En cela, le monde numérique est un miroir, un prolongement de notre réalité physique. Les recherches récentes montrent que les algorithmes peuvent produire ou reproduire certaines associations discriminantes. Cet amendement vise à faire de la CNIL une force d'impulsion dans l'information et la formation, afin de lutter contre ce phénomène pouvant avoir des conséquences g...

...ur l'article 4, on saisisse bien la spécificité des fichiers que l'on appelle « fichiers de souveraineté », relatifs à la sûreté de l'État, à la défense et à la sécurité publique. Ces fichiers permettent de défendre les intérêts vitaux de la nation et sont à ce titre mentionnés à l'article 26 de la loi Informatique et libertés. Commençons par remarquer que le texte européen ne s'applique pas aux traitements intéressant la sûreté de l'État et la défense. À l'intérieur de cette catégorie, les fichiers des services de renseignement sont encore plus sensibles car, contrairement à d'autres fichiers relatifs à la sécurité publique qui peuvent être destinés au partage d'informations, les fichiers des services spécialisés contiennent des informations vitales pour la nation qui doivent être protégées. Je m...

...Cet amendement s'inscrit dans le droit-fil de celui que je viens de défendre. Je ne m'attends donc pas à ce qu'il reçoive un avis favorable, mais je vais tout de même le présenter. Les informations relatives à l'état de santé physique et psychique d'un patient sont considérées par la loi comme des données sensibles ; cela tombe sous le sens, tant elles sont personnelles. Pour les protéger, leur traitement est soumis à des conditions particulières, définies par la loi Informatique et libertés et par le code de la santé publique. Ce dernier dispose très précisément que « toute personne prise en charge par un professionnel [ou] un établissement [de santé] a droit au respect de sa vie privée et du secret des informations la concernant ». Les professionnels de santé et ceux qui interviennent dans le sy...

...sur les contrôles qu'elle effectue. Or, dans le cadre de ces procédures de contrôle et d'instruction, il est important que le nom des entreprises faisant l'objet d'une telle procédure ne soit pas cité avant qu'une quelconque sanction devenue définitive ne soit prononcée à leur encontre. En effet, la publicité d'un contrôle à l'encontre d'une entreprise laisse présumer de la non-conformité de ses traitements de données personnelles dans l'esprit du client, alors que la confiance est un élément fondamental dans les relations entre individus et entreprises. Dès lors, il est nécessaire que la confidentialité de ces procédures soit assurée au niveau de l'enquête, tel le secret de l'instruction dans les enquêtes pénales, afin de ne pas porter atteinte prématurément et inutilement à l'image des entreprise...