21 mars 2018, vote au Sénat du projet de loi sur la protection des données. Des différentes interventions et débats sont à rappeler les propos préliminaires du rapporteur  de la commission des lois et ceux présentés  au nom de la commission des affaires européennes. ( Interventions accessibles là)

1. ( Les titres sont ajoutés )  

Mme Sophie Joissains, rapporteur de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d’administration générale. Monsieur le président, madame la garde des sceaux, monsieur le président de la commission des lois, mes chers collègues, la loi Informatique et libertés a franchi le cap des quarante années d’existence.

L’objectif de la loi

C’est une grande loi, une loi visionnaire, et si ses dispositions ont dû être adaptées au fil de l’évolution rapide des technologies numériques et du développement de nouveaux modes de traitement des données personnelles, ses principes cardinaux sont restés d’airain : consentement éclairé, loyauté de la collecte des données personnelles, adéquation aux finalités de traitement.

Les traitements de données ont changé d’échelle et se sont mondialisés avec l’apparition de véritables géants numériques américains et, désormais, chinois.

Dans cette course constante que se livrent le droit et la technique, le législateur européen, après de longues et âpres négociations, a adopté un règlement général sur la protection des données largement inspiré de la loi de 1978 et des travaux de la commission des affaires européennes du Sénat, et de son rapporteur, Simon Sutour, notamment sur l’extraterritorialité, l’un des points phares du projet de loi.

Ce règlement entrera en vigueur le 25 mai 2018. Assorti d’une directive relative aux traitements de données personnelles en matière policière et pénale, il entend promouvoir l’émergence d’un modèle européen harmonisé et ambitieux de la protection des données à caractère personnel tout en favorisant la compétitivité des entreprises européennes sur la scène internationale.

Nous ne pouvons évidemment que souscrire à cet objectif. Et l’actualité récente nous montre combien il était urgent d’agir.

Les objectifs du RGPD, de la directive , leurs impacts sur la CNIL

Laissant un grand nombre de marges de manœuvre aux États membres pour adapter certaines de ses dispositions, voire pour y déroger, le règlement poursuit trois objectifs principaux.

Premièrement, il vise à renforcer les droits des personnes physiques en créant notamment un droit à l’oubli et un droit à la portabilité des données personnelles et en facilitant l’exercice de ces droits – actions par mandataire, actions collectives, droit à réparation du préjudice…

Deuxièmement, il responsabilise tous les acteurs traitant des données en graduant leurs obligations en fonction des risques pour la vie privée, en privilégiant le recours à des outils de droit souple et en mettant fin à l’essentiel des formalités administratives préalables au bénéfice d’une obligation de conformité du traitement dès sa conception, ce qui est un véritable progrès.

Troisièmement, enfin, il s’agit de crédibiliser la régulation à la mesure des enjeux de souveraineté numérique : l’extraterritorialité est consacrée, les autorités européennes sont appelées à coopérer pour contrôler et sanctionner en cas de traitement de données transfrontalier. Ces sanctions sont enfin réellement dissuasives : 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, chiffres pouvant même doubler dans certains cas…

Je ne m’attarderai pas sur la directive, qui reprend l’essentiel des principes du règlement et qui est applicable à tout traitement de données à caractère personnel aux fins de prévention, de détection des infractions pénales, d’enquêtes, de poursuites ou d’exécution des sanctions pénales. Elle doit être transposée avant le 6 mai 2018.

Le projet de loi qu’il nous revient d’examiner a donc pour but d’adapter la loi de 1978 – choix très symbolique – au règlement général, de tirer parti des marges de manœuvre nationales qu’il autorise et de transposer la directive sectorielle.

À cette fin, les missions de la CNIL sont élargies et ses pouvoirs renforcés.

Le traitement des données dites sensibles reste très encadré et des régimes spécifiques plus protecteurs conservant des formalités préalables restent prévus pour certains traitements, notamment ceux qui visent le numéro de sécurité sociale, des données biométriques ou génétiques, des condamnations pénales, des archives ou des données de santé.

L’appréciation du texte tel que présenté après le vote de l’Assemblée nationale

L’Assemblée nationale a étendu l’objet de l’action de groupe en matière de données personnelles à la réparation des dommages en vue d’obtenir la réparation des préjudices matériels.

Concernant la protection spécifique des données des enfants, les députés ont abaissé de 16 à 15 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles.

Certaines décisions administratives individuelles fondées sur des algorithmes sont autorisées.

Les règles applicables au traitement de données à caractère personnel prévues par la directive sont transposées.

Enfin, le fichier de traitement d’antécédents judiciaires, le TAJ, est sécurisé en réponse à une décision QPC du Conseil constitutionnel.

Les modification proposées par la Commission des lois

La commission des lois du Sénat, tout en approuvant les grandes orientations du projet de loi, a voulu réparer – je dois le dire, madame la garde des sceaux – de nombreuses lacunes et rééquilibrer certains éléments du dispositif.

La Commission nationale de l’informatique et des libertés et le Conseil d’État s’accordent à constater l’illisibilité du projet de loi, alors que le contenu du règlement et de la directive était connu depuis avril 2016.

La situation des collectivités territoriales

En premier lieu, notre commission a tenu à répondre aux attentes et aux vives inquiétudes des collectivités territoriales. Ce sont les grandes absentes du projet de loi. Elles sont pourtant, de la plus petite à la plus grande d’entre elles, toutes – absolument toutes – concernées par les dispositions du règlement : fichier d’état civil, fichier des cantines scolaires, fichiers d’aide sociale, listes électorales, fiscalité locale, cadastre… Elles sont responsables de nombreux traitements sur lesquels elles n’ont souvent pas prise, car découlant d’obligations légales.

Sous la menace de sanctions pécuniaires de la CNIL et de recours en justice, elles devront assumer seules des coûts importants : nomination d’un délégué à la protection des données, adaptation de certains fichiers existants, renforcement de la sécurité en cas de données sensibles, réponse à l’exercice des nouveaux droits des particuliers…

Les discussions à l’Assemblée nationale n’ont – hélas ! – pas permis de corriger les lacunes initiales du texte, car si nos collègues députés sont restés attentifs, à juste titre, au sort des TPE et des PME, les collectivités territoriales ont été totalement absentes des débats.

Face à cette situation inédite, le Sénat, chambre des libertés et des collectivités territoriales, s’est ému. Sa commission des lois s’est attachée à prévoir que la CNIL adapte les normes qu’elle édicte et les informations qu’elle diffuse aux besoins et aux moyens des collectivités, notamment des plus petites d’entre elles, à dégager de nouveaux moyens pour aider celles-ci à se conformer à leurs nouvelles obligations et à faciliter la mutualisation des services numériques entre collectivités, à réduire l’aléa financier qui pèse sur elles, en supprimant la faculté offerte à la CNIL de leur imposer des amendes administratives.

Les actions de groupe

Votre commission a également voulu rééquilibrer la procédure d’action de groupe en réparation des dommages. Sans la remettre en cause, car elle est importante pour les droits des citoyens, il nous faut entendre l’inquiétude des petits opérateurs : chacun s’accorde à dire qu’ils ne seront pas prêts pour appliquer le règlement européen dès le 25 mai 2018 – en sont responsables l’impréparation et le manque d’information imputable aux gouvernements successifs…

Ces opérateurs risqueraient aujourd’hui d’être mis à terre par une condamnation trop lourde, sans compter les risques d’abus de droit, de quérulence ou d’extorsion.

L’Association des départements de France a été la première à nous alerter, relayée par l’AMF. Seulement 10% des collectivités sont prêtes aujourd’hui, alors que le règlement est d’application immédiate le 25 mai prochain. Près de 85 % d’entre elles ne sont pas même au courant de son existence.

Dans le but d’apporter des solutions concrètes à ces problèmes spécifiques, la commission des lois a proposé de différer de deux ans l’entrée en vigueur de l’action de groupe en réparation des dommages et d’imposer, de même qu’en droit de la consommation ou de l’environnement, un agrément préalable des associations de protection de la vie privée pour introduire une action de groupe.

L’age minimal pour le consentement

Concernant l’âge minimal à partir duquel un mineur peut consentir lui-même au traitement de ses données personnelles, sujet éminemment délicat, comme vous l’avez souligné, madame la garde des sceaux, la commission des lois a décidé de le maintenir à 16 ans, conformément au droit commun européen et dans l’attente de travaux plus approfondis de nature à dégager de véritables critères d’évaluation, ainsi qu’un régime d’accompagnement adapté. La présidente de la commission de la culture, Catherine Morin-Desailly, y travaille assidûment.

L’emploi des décisions administratives par algorithmes

La commission a également veillé à encadrer strictement l’usage des algorithmes par l’administration dans la prise de décisions individuelles. Elle a tenu à renforcer les garanties de transparence en la matière, notamment pour les inscriptions à l’université qui ne doivent pas constituer une exception au droit à l’information dû à tout un chacun.

La commission a rétabli l’autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté. Elle a précisé les conditions d’extension de la liste des personnes autorisées à mettre en œuvre ces fichiers, ainsi que le cadre juridique de la mise à disposition des décisions de justice en open data, et ce afin de prévenir tout risque d’atteinte à la vie privée des personnes, mais aussi de préserver l’indépendance et la liberté d’appréciation de la justice.

Le choix du moteur de recherche

Souhaitant porter le débat en séance et innover en la matière, elle a adopté un amendement visant à s’assurer que les utilisateurs de terminaux électroniques ne soient pas victimes d’un choix par défaut et qu’ils aient la possibilité d’installer sur leur terminal d’autres moteurs de recherche que celui qui est imposé par le fabriquant, et notamment des moteurs de recherche respectueux de la vie privée.

Enfin, la commission des lois a supprimé l’habilitation demandée par le Gouvernement pour procéder par ordonnance aux corrections des très nombreuses incohérences subsistant entre le droit français et le droit européen.

Regrettant le manque d’anticipation du Gouvernement, qui a témoigné, je dois le dire, d’une grande désinvolture vis-à-vis du Parlement et d’une ignorance difficilement compréhensible des collectivités, la commission a souhaité qu’il explique au Sénat les raisons de cette impréparation majeure – vous avez commencé cette explication, madame la garde des sceaux –, qu’il précise les contours du futur texte résultant de cette ordonnance et qu’il garantisse au Parlement que ses apports seront intégralement conservés.

Si nous partageons pleinement l’esprit et les objectifs des textes européens et la volonté de maintien de la loi de 1978 dans le projet de loi, je ne saurais conclure sans insister sur l’importance des nouvelles missions attribuées à la CNIL. C’est sur cette dernière que reposent tout le nouvel édifice de protection des droits et la responsabilité d’accompagner les acteurs économiques et les élus locaux.

Je souhaite vous interroger solennellement, madame la garde des sceaux, sur le grave problème que va poser l’insuffisance des moyens à sa disposition. L’autorité, déjà très sollicitée, n’a pas, en l’état, les capacités matérielles et humaines de faire face à sa nouvelle charge de travail. Les quelques mesures que nous avons proposées pour faciliter son organisation interne n’y suffiront pas.

Que pouvez-vous nous dire, à ce stade, des engagements budgétaires et humains qui devront nécessairement être pris par le Gouvernement ? Il y va de la réussite même de cette ambitieuse réforme de la protection des données.

——————

Simon Sutour, au nom de la commission des affaires européennes. Monsieur le président, madame la garde des sceaux, mes chers collègues, le 21 février dernier, la conférence des présidents a décidé de confier à la commission des affaires européennes, à titre expérimental, une mission de veille sur l’intégration des normes européennes en droit interne.

C’est dans cette optique que la commission des affaires européennes a examiné ce projet de loi et formulé un ensemble d’observations.

Le 25 mai : une date trop proche

Le règlement européen sur la protection des données personnelles s’appliquera de plein droit à compter du 25 mai prochain. Or les entreprises françaises n’ont pas finalisé leur mise en conformité. Les collectivités territoriales, quant à elles, comme vient de le souligner Mme la rapporteur, surtout celles dont les moyens techniques et financiers sont limités, c’est-à-dire les plus petites d’entre elles, ne seront de toute évidence pas en mesure d’y procéder à bonne date.

Cette situation illustre, si besoin est, la nécessité d’une participation active du Parlement, et singulièrement du Sénat, représentant constitutionnel des collectivités locales, à l’élaboration des textes européens. Il nous faut, en particulier, pouvoir anticiper et attirer l’attention du Gouvernement sur les conséquences concrètes de ceux-ci.

La discussion du règlement général sur la protection des données personnelles a fait l’objet d’un suivi attentif de la commission des affaires européennes. J’ai notamment déposé et rapporté, en son nom, et au nom de la commission des lois, deux propositions de résolution européenne et un avis motivé

Les résolutions du Sénat demandaient que des dispositions nationales plus protectrices puissent être conservées et que toute personne résidant en France soit en droit de saisir la CNIL, même si le siège de l’entreprise traitant ses données est situé dans un autre État membre.

Première observation : le règlement général sur la protection des données reprend les deux éléments que le Sénat avait mis en avant. L’autorité de contrôle compétente est bien celle de la résidence du demandeur.

Par ailleurs, et bien qu’il s’agisse d’un règlement, une cinquantaine de marges de manœuvre – vous les avez évoquées, madame la garde des sceaux – sont ouvertes aux États membres pour leur permettre, notamment, de conserver des dispositions nationales plus protectrices pour les données sensibles et de limiter les droits des personnes pour des motifs stricts de sécurité publique.

Le projet de loi exploite certaines de ces marges de manœuvre, en particulier pour maintenir, tout en les révisant, des régimes spéciaux et des règles renforcées de protection des données les plus sensibles.

Deuxième observation : la directive fixe à 16 ans l’âge du consentement des enfants, tout en permettant de l’abaisser à 13. La commission des affaires européennes estime que cette question doit faire l’objet d’une approche mesurée. Le texte adopté par la commission des lois va tout à fait dans ce sens.

Troisième observation : l’extension de l’action de groupe à la réparation pécuniaire, introduite par l’Assemblée nationale, n’est pas prévue par le règlement général, mais il s’agit d’une faculté ouverte par le droit européen pour d’autres actions de groupe, raison pour laquelle la commission des affaires européennes recommande qu’elle soit envisagée à l’échelon européen et assortie de règles renforcées d’enregistrement des associations. Il s’agit, là encore, d’une approche partagée par la commission des lois.

Quatrième observation : la nécessité de s’assurer de la protection effective des données et des droits des personnes en cas de transfert vers des pays tiers. Dans son premier rapport d’application de l’accord sur le bouclier de protection conclu entre l’Union européenne et les États-Unis, la Commission européenne estime que la mise en œuvre de cet accord doit être améliorée, en particulier la vérification de la conformité des entreprises qui se sont autocertifiées. Il conviendra donc de suivre attentivement cette question.

Je veux enfin revenir à mon observation initiale relative à la charge que représente l’obligation de mise en conformité, à très brève échéance, pour les collectivités territoriales.

Madame la ministre, vous avez évoqué l’appui qu’apporteront les préfets et l’administration, ce qui me semble tout à fait normal. Pour autant, la mise en cause de leur responsabilité peut entraîner des conséquences très importantes pour les collectivités locales, notamment pour les petites communes.

Le règlement ne comporte pas de délai en la matière. Il est donc à tout le moins indispensable d’organiser un accompagnement adapté, voire très adapté, comme le prévoit la commission des lois, et d’y associer pleinement la CNIL, dont les moyens, notamment techniques, doivent être rapidement renforcés.

Le Sénat et sa commission des affaires européennes entendent être vigilants quant au suivi de l’élaboration et de la mise en œuvre des textes européens. Souhaitons qu’ils soient écoutés, et entendus.