ASSEMBLÉE NATIONALE COMMISSION des LOIS CONSTITUTIONNELLES,
de la LÉGISLATION et de l'ADMINISTRATION GÉNÉRALE
de la RÉPUBLIQUE COMPTE RENDU N° 18 (Application de l'article 46 du Règlement) Mercredi 9 janvier 2002
(Séance de 9 heures 30) Présidence de M. Bernard Roman, président SOMMAIRE
| |
pages
|
- Projet de loi, modifié par le Sénat, relatif à l'accès aux origines des personnes adoptées et pupilles de l'Etat (n° 3521) (deuxième lecture) |
2
|
- Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (n° 3250) (rapport) |
3
| La Commission a examiné, sur le rapport de Mme Véronique Neiertz, le projet de loi, modifié par le Sénat, relatif à l'accès aux origines des personnes adoptées et pupilles de l'Etat (n° 3521). Mme Véronique Neiertz, rapporteure, a rappelé que le travail accompli sur le projet de loi en première lecture à l'Assemblée nationale, dépassant les clivages partisans, avait eu pour objectif de parvenir à un équilibre particulièrement difficile à atteindre consistant à préserver le droit pour les femmes d'accoucher anonymement, tout en permettant aux enfants d'avoir un accès facilité à la connaissance de leurs origines. Après avoir souligné que le texte adopté par l'assemblée avait défini une infrastructure générale en ébauchant les modalités concrètes de son application, elle a indiqué que le Sénat lui avait apporté des aménagements intéressants consistant à réaffirmer le rôle des conseils généraux et à mieux articuler leurs compétences avec celles du Conseil national pour l'accès aux origines personnelles et à assouplir les conditions de communication de l'identité des parents de naissance en cas de décès de ceux-ci. Elle a ensuite précisé que, préparant la seconde lecture du projet de loi à l'Assemblée nationale en collaboration avec la délégation aux droits des femmes et à l'égalité des chances entre les hommes et les femmes et avec le Gouvernement, elle avait suggéré à ce dernier de présenter des amendements devant le Sénat qui permettent ensuite à l'Assemblée d'adopter le texte en l'état en deuxième lecture. Le Sénat ayant approuvé les modifications proposées par le Gouvernement, elle a indiqué qu'elle ne présentait donc pas d'amendements, soulignant que le projet de loi semblait donner satisfaction à l'ensemble des acteurs concernés, mais suggérant, cependant, qu'il fasse l'objet d'un bilan d'application dans deux ans. Evoquant les revendications d'associations d'enfants adoptés, M. Gérard Gouzes a regretté l'existence de deux actes de naissance pour ces enfants, rappelant que, dans son rapport sur l'adoption internationale, il avait proposé que soit seul conservé l'acte de naissance établi à la suite de l'adoption plénière. La rapporteure a indiqué que, depuis 1996, le code civil précise qu'en cas d'adoption plénière, l'acte de naissance originaire est considéré comme nul. Elle a ensuite rappelé que, tout au long de l'examen de ce texte, les parlementaires avaient été guidés par le souci de régler le problème des futurs adoptés, mais aussi par la volonté de répondre aux demandes actuelles, ce qui a conduit à mettre en place des dispositions qui n'auront sans doute qu'un caractère transitoire. Elle a observé que le succès de la réforme nécessitait un véritable changement de mentalité, puisque le secret, qui devient l'exception, exige une démarche spécifique et réitérée de la part de la mère. Elle a estimé que les garde-fous posés par le législateur permettraient de préserver la vie privée de la mère d'origine, tout en donnant, le cas échéant, la possibilité à l'enfant de connaître l'identité de celle-ci. Suivant les propositions de la rapporteure, la Commission a adopté sans modification les articles premier (chapitre VI du titre IV du livre Ier du code de l'action sociale et des familles) : Institution d'un Conseil national pour l'accès aux origines personnelles, 2 (art. L. 222-6 du code de l'action sociale et des familles) : Recueil de l'identité de la femme demandant à accoucher anonymement, 3 (art. L. 223-7 du code de l'action sociale et des familles) : Correspondants départementaux du Conseil national pour l'accès aux origines personnelles - Obligation de communication des informations détenues par les organismes autorisés pour l'adoption sur les enfants ayant fait l'objet d'un accouchement anonyme, 4 (art. L. 224-5 du code de l'action sociale et des familles) : Suppression de la possibilité pour les parents de remettre leur enfant âgé de moins d'un an à l'aide sociale en demandant le secret de leur identité ; 4 bis (art. L. 224-7 du code de l'action sociale et des familles) : Conservation des renseignements sous la responsabilité du président du Conseil général, 4 ter A (nouveau) (art. L. 225-11 du code de l'action sociale et des familles) : Organismes autorisés et habilités pour l'adoption, 4 ter (art. L. 224-14-1 [nouveau] du code de l'action sociale et des familles) : Communication des dossiers individuels par les organismes autorisés et habilités pour l'adoption, 5, 6, 7 et 8 (titre I, V, VI et VII du livre V du code de l'action sociale et des familles) : Application à Mayotte, à Wallis-et-Futuna, à la Polynésie française et à la Nouvelle-Calédonie, 8 bis (nouveau) (chapitre VII du titre IV du livre Ier du code de l'action sociale et des familles) : Codification des dispositions relatives au Conseil supérieur de l'adoption et à l'Autorité centrale pour l'adoption internationale, 10 (nouveau) (art. 62-1 [nouveau] du code civil) : Etablissement de la filiation du père d'un enfant né dans l'anonymat, et 11 (nouveau) (art. 353-1 du code civil) : Agrément des personnes souhaitant adopter un enfant. Elle a ensuite adopté l'ensemble du projet de loi sans modification. * * * La Commission a examiné, sur le rapport de M. Gérard Gouzes, le projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (n° 3250). M. Gérard Gouzes, rapporteur, a souligné l'importance de ce projet de loi qui s'attache à assurer, dans un contexte marqué par l'évolution des technologies informatiques en général et d'Internet en particulier, ainsi que par la montée en puissance du marché unique européen, la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Il a observé que tous les citoyens, dans le cadre de leurs activités professionnelles ou de leur vie privée, étaient potentiellement intéressés par cette réglementation, nul n'échappant au risque que des données personnelles le concernant soient insérées dans des fichiers constitués à son insu. Le rapporteur a ensuite présenté les deux orientations majeures du projet de loi, qui transpose en droit français une directive du 24 octobre 1995 conciliant les impératifs de défense de la vie privée des individus et de libre circulation des données personnelles et renforce, concomitamment, les pouvoirs de la Commission nationale de l'informatique et des libertés (CNIL). Il a donc justifié par une double contrainte, technologique et juridique, la refonte proposée par le Gouvernement de la loi du 6 janvier 1978, qui avait été adoptée, à l'issue d'un large débat public, en réaction à un projet du Gouvernement de l'époque tendant à permettre une interconnexion de l'ensemble des fichiers des administrations. Il a expliqué que ce contexte particulier avait marqué l'orientation de cette loi qui se situe d'emblée sur le terrain de la protection des libertés publiques, en reconnaissant aux citoyens des droits à l'égard des fichiers les concernant et en confiant à une autorité administrative indépendante le soin de veiller à ce que l'informatique ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Il a également rappelé que la loi du 6 janvier 1978 avait institué des procédures protectrices en soumettant à un régime d'autorisation préalable la constitution d'un fichier relevant d'une autorité publique et de déclaration préalable les fichiers « privés », ces procédures a priori étant confortées par des possibilités de contrôle a posteriori par les agents de la CNIL. Il a précisé, par ailleurs, que le traitement automatisé de données nominatives de santé ayant pour fin la recherche, l'évaluation ou l'analyse des activités de soin et de prévention avait été soumis, depuis lors, à des procédures particulières, conciliant la transmission de renseignements nécessaires aux progrès de la science et le secret professionnel. Le rapporteur a ensuite présenté les principales dispositions du projet de loi qui définit, en premier lieu, de façon plus précise, certaines notions inhérentes au traitement et à l'utilisation des données personnelles, étend le champ d'application de la réglementation à l'ensemble des données traitées de façon automatisée ou manuelle et prévoit que celle-ci s'applique dès lors que soit le responsable, soit les moyens de traitement du fichier sont établis sur le territoire français. S'agissant des conditions de licéité des traitements, il a indiqué que la collecte de données « non sensibles » devrait respecter les principes de loyauté et de proportionnalité à la finalité du fichier, le consentement de la personne concernée étant requis, mais parfois de façon tacite et sauf exception prévue par la loi. Il a précisé, en revanche, que le consentement des personnes concernées devrait toujours être exprès pour les données dites « sensibles », qui ont trait, notamment, aux origines raciales, aux opinions ou aux orientations sexuelles. Puis il a présenté les dispositions relatives à l'organisation et aux prérogatives de la CNIL, considérant que sa qualité d'autorité administrative indépendante était confortée, ses règles de fonctionnement précisées et ses pouvoirs accrus. Il a expliqué que la CNIL devrait veiller au respect des différents régimes en vigueur, établir et publier les normes applicables, recevoir les réclamations, conseiller les pouvoirs publics et les personnes qui la solliciteront, assurer une fonction de contrôle et garantir un droit d'accès indirect à certains fichiers. Abordant la question des formalités requises pour la mise en _uvre d'un traitement, le rapporteur a souligné que le principe était celui de la déclaration préalable à la CNIL, sous réserve de certaines dérogations au bénéfice, notamment, des associations. Il a cependant insisté sur le fait qu'un régime d'autorisation préalable, délivrée par la CNIL ou sur le fondement d'un acte réglementaire après avis de celle-ci, était requis pour les fichiers définis comme sensibles par la loi ou concernant la défense, la sûreté ou la sécurité publiques. Il a ensuite présenté les obligations qui incomberont aux responsables des traitements ainsi que les sanctions administratives et pénales destinées à réprimer les infractions à la législation. Il a également exposé les dispositions propres à certains fichiers, notamment ceux ayant pour fin la recherche dans le domaine de la santé ou le journalisme et l'expression littéraire et artistique. S'agissant de ces derniers, il a indiqué que les fichiers contenant des données personnelles mises en _uvre aux seules fins d'exercice de la profession de journaliste pourraient être dispensés du régime de la déclaration préalable lorsque le responsable du traitement aura désigné à la CNIL un délégué à la protection des données, chargé de veiller au respect des dispositions de la loi par le responsable du fichier. Puis, il a expliqué que, si le transfert de données personnelles devenait libre à l'intérieur de l'Union européenne, il serait désormais strictement réglementé vis-à-vis des Etats tiers, une telle opération n'étant licite que si le pays de destination offre des garanties « suffisantes » en matière de protection des traitements. Il a relevé, enfin, que le projet de loi adaptait à la nouvelle législation le régime dérogatoire applicable à la vidéosurveillance depuis la loi du 21 janvier 1995. Soulignant l'urgence qui s'attache à moderniser une législation datant de 1978, dans un contexte de développement sans précédent des technologies, M. Jean Codognès a indiqué que le texte proposé permettrait de répondre, de façon adéquate, à la question de la protection des citoyens, en facilitant la saisine de la CNIL et en lui conférant des pouvoirs accrus. Il a notamment émis le souhait que le dispositif proposé puisse mettre un terme à une tendance récente consistant à traiter les fichiers de données personnelles comme des marchandises négociables entre entreprises. Il a également insisté sur un autre aspect du projet de loi, qui permet de sanctionner de manière plus efficace les infractions à la loi de 1978. Rappelant, en préambule, que le projet de loi se limitait à transposer en droit interne une directive communautaire, M. Pascal Clément a exprimé sa satisfaction que le Gouvernement ait pris, pour procéder à cette transposition, la loi de 1978 comme texte de référence plutôt que d'élaborer un texte totalement nouveau. Il a, en effet, jugé qu'il convenait de rendre hommage au législateur de l'époque, qui a su élaborer un texte véritablement pionnier, dans un contexte où l'état des technologies n'était en rien comparable à ce qu'il est aujourd'hui. S'agissant du projet de loi présenté à la commission, il s'est interrogé sur le décalage entre l'objectif poursuivi de protection du citoyen et le contexte international qui exige, en matière de lutte contre le terrorisme, l'exploitation de fichiers de police performants. Rappelant ensuite qu'il avait siégé, en tant que représentant du Parlement, au sein de la CNIL, il a déploré que cette autorité administrative indépendante soit si prompte à sanctionner les petites entreprises se livrant au commerce, somme toute bien anodin, de fichiers de clientèle, alors qu'elle s'abstient trop souvent, au nom de la raison d'Etat, de contrôler de manière véritablement approfondie les fichiers détenus par les autorités de l'Etat, et notamment le ministère de l'intérieur. Il a regretté, enfin, que le projet de loi ne réduise davantage les sanctions pénales, estimant que, si elles sont nécessaires et indispensables, ces sanctions doivent rester réalistes pour pouvoir être appliquées à bon escient par le juge. Évoquant son expérience de membre de la CNIL, M. Alain Vidalies a jugé très difficile de légiférer dans un domaine où les technologies et la jurisprudence vont toujours beaucoup plus vite que le législateur. Il a évoqué notamment la récente jurisprudence de la Cour de cassation portant sur l'utilisation des moyens informatiques par les salariés d'une entreprise à des fins personnelles, ainsi que le développement, en matière de santé, des « infomédiaires », entreprises chargées de stocker les données médicales pour les mettre à disposition des médecins traitants. Dans les deux cas, qu'il s'agisse de l'organisation des rapports collectifs au sein de l'entreprise ou du domaine de la santé, il a regretté que l'on s'en remette à des chartes de déontologie, qui n'offrent absolument pas les garanties nécessaires, aucun cadre législatif n'existant pour déterminer qui doit élaborer ces chartes et quelle est l'autorité chargée d'en assurer le respect. Estimant, en l'occurrence, que le texte proposé ne pouvait apporter pour chacun de ces sujets une réponse adéquate, il a souhaité que les principes de protection de l'individu que le projet défend puissent être déclinés dans chaque projet traitant de secteurs sensibles au regard du développement des technologies. M. Jean-Pierre Michel s'est étonné qu'il soit nécessaire de modifier la loi du 6 janvier 1978 pour transposer une directive européenne, alors que les traités institutifs de l'Union européenne ne lui donnent pas de compétence dans le domaine des droits de l'Homme. Il a souligné que la directive avait, en fait, avant tout pour objet de libéraliser l'usage de l'informatique à des fins commerciales. Regrettant que le législateur se trouve ainsi contraint de modifier une loi protégeant les personnes qui présentait lors de son adoption un caractère précurseur en Europe, il a estimé que la Commission européenne n'aurait pas dû se saisir de cette question. Tout en reconnaissant que le projet de loi constituait un texte d'équilibre, il a indiqué qu'il était opposé à l'affaiblissement du régime de l'autorisation préalable des fichiers par la CNIL, jugeant que le contrôle a posteriori était moins protecteur. Il a, par ailleurs, insisté sur le danger de renoncer à la distinction entre les fichiers selon qu'ils sont constitués par des services publics ou des personnes de droit privé, soulignant que le contrôle de ces dernières était particulièrement difficile à mettre en _uvre et nécessitait, en conséquence, des instruments particuliers. Pour ces raisons il a estimé que le projet de loi soumis à la Commission constituait une régression par rapport à la loi du 6 janvier 1978. M. Emile Blessig a souligné les risques résultant de la capacité croissante de traitement des données par les ordinateurs et s'est interrogé sur les moyens d'organiser la protection des citoyens face à des réseaux informatiques qui dépassent le cadre des frontières nationales. En réponse au différents intervenants, le rapporteur a apporté les précisions suivantes : - Il est faux d'affirmer que le projet de loi constitue une régression par rapport au texte de 1978 puisque, en remplaçant le système de déclaration préalable par une procédure d'autorisation, il permet d'exercer un réel contrôle sur les données personnelles exploitées par les entreprises privées, ce que ne faisait pas la loi de 1978, essentiellement centrée sur le contrôle du secteur public. Même si l'un des objectifs, à l'origine, était de faciliter la circulation des données personnelles, le projet, en renforçant les pouvoirs de la CNIL, permettra d'améliorer sensiblement le dispositif de 1978. - Il ne s'agit pas de la première tentative pour transposer la directive d'octobre 1995, puisque le Gouvernement dirigé par M. Alain Juppé avait confié au Conseil d'Etat la rédaction d'un rapport sur les modalités de transposition de cette directive. La dissolution a mis fin à ce premier projet de transposition, trop axé sur la liberté de circulation de données personnelles. Le nouveau Gouvernement a chargé M. Guy Braibant d'élaborer un nouveau rapport, dont la qualité mérite d'être soulignée, qui a largement inspiré le présent projet de loi. - Si le projet de loi propose de remplacer l'avis conforme de la CNIL par un avis simple pour les fichiers du secteur public portant sur des données « sensibles » et mis en _uvre dans le domaine de la défense, de la sûreté ou de la sécurité publiques, il n'affaiblit pas, pour autant, les pouvoirs de cette autorité, car la publicité donnée à cet avis sera telle qu'il sera difficile pour l'administration de s'en affranchir. Le texte facilite, par ailleurs, l'accès des citoyens aux données touchant à la souveraineté de l'Etat. - Les sanctions prévues par le projet de loi étant nettement inférieures à celles actuellement en vigueur, il n'est pas possible de les maintenir en l'état et, a fortiori, de les diminuer, la directive exigeant des sanctions équivalentes. Ce durcissement des peines encourues est d'autant plus nécessaire que celles-ci doivent être dissuasives vis-à-vis d'entreprises privées brassant des sommes d'argent importantes. - Les citoyens français pourront obtenir l'application des dispositions de la directive dans chacun des pays de l'Union européenne. S'agissant du transfert des données personnelles hors de l'Union, un accord de la Commission européenne est exigé. - Il existe un risque de contradiction entre le droit d'accès aux fichiers publics garanti par la CADA et la protection de la vie privée à laquelle tout citoyen a également droit, qu'il faudra peut-être régler par l'adoption d'un amendement, qui pourra être présenté dans le cadre de la réunion que la Commission tiendra au titre de l'article 88 du Règlement. La Commission est ensuite passée à l'examen des articles du projet de loi. TITRE Ier
DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978
RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS Article 1er (art. 2 à 5 de la loi n° 78-17 du 6 janvier 1978) : Détermination du champ d'application de la loi : - Article 2 (nouveau) : Définition de la donnée à caractère personnel : La Commission a adopté deux amendements du rapporteur, le premier d'ordre rédactionnel et le second précisant que constitue une donnée à caractère personnel toute information permettant, « directement ou indirectement », d'identifier une personne grâce aux éléments ou numéros qui lui sont propres. - Article 3 (nouveau) : Définition du responsable et du destinataire du traitement : La Commission a adopté un amendement du rapporteur supprimant les dispositions qui prévoient que le responsable du traitement est la personne qui, « seule ou conjointement », détermine les finalités et les moyens du traitement, le rapporteur ayant, en effet, souligné le caractère imprécis de la notion de « co-responsabilité ». Puis, elle a adopté un amendement d'ordre rédactionnel également présenté par le rapporteur. - Article 5 (nouveau) : Critères de compétence territoriale : La Commission a adopté un amendement du rapporteur écartant les références aux notions « d'activité effective » et d'installation « stable » - que le rapporteur a jugé imprécise et donc susceptible de susciter des risques de contentieux - pour définir le principe d'établissement sur le territoire français qui a pour effet de soumettre le responsable d'un traitement aux dispositions de la loi. La Commission a ensuite adopté l'article 1er ainsi modifié. Article 2 (chapitre II de la loi n° 78-17 du 6 janvier 1978) : Conditions de licéité des traitements des données à caractère personnel : - Article 6 (nouveau) : Règles relatives à la collecte et aux traitements des données : La Commission a adopté trois amendements du rapporteur, le premier supprimant une disposition inutile, le deuxième regroupant au sein du même alinéa l'ensemble des dispositions relatives au respect du principe de la finalité des traitements, y compris celles concernant les traitements à des fins statistiques ou historiques et le troisième d'ordre rédactionnel. Elle a, en revanche, rejeté un amendement de M. Pascal Clément prévoyant que, pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être mis en _uvre à cette fin par le responsable ou par une autre personne, le rapporteur ayant considéré qu'il était satisfait par l'amendement adopté à l'article premier qui précise que toute information qui permet l'identification, directe ou indirecte, de la personne concernée constitue une donnée personnelle. - Article 7 (nouveau) : Conditions permettant la création d'un traitement : La Commission a adopté quatre amendements d'ordre rédactionnel présentés par le rapporteur. - Article 8 (nouveau) : Règles relatives aux traitements portant sur des données « sensibles » : La Commission a adopté quatre amendements du rapporteur, trois d'ordre rédactionnels et le quatrième permettant la mise en _uvre de traitements portant sur les données dites « sensibles », comprenant notamment des informations relatives à la santé des personnes concernées, non seulement au titre de la recherche médicale, et non seulement au secteur de la médecine préventive, de l'administration de soins ou de la gestion des services de santé, mais également en matière de recherche médicale. - Article 9 (nouveau) : Règles relatives aux traitements portant sur des données judiciaires : La Commission a adopté un amendement d'ordre rédactionnel présenté par le rapporteur. - Article 10 (nouveau) : Règles relatives aux décisions prises sur le fondement des traitements de données : La Commission a adopté un amendement du rapporteur tendant à affirmer plus clairement que ne le fait le projet de loi, le principe selon lequel aucune décision ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité. La Commission a ensuite adopté l'article 2 ainsi modifié. Article 3 (chapitre III de la loi n° 78-17 du 6 janvier 1978) : Dispositions relatives à la CNIL : - Article 11 (nouveau) : Missions de la CNIL : La Commission a adopté deux amendements du rapporteur, le premier rappelant la mission d'information générale auprès du citoyen qui incombe à la CNIL, le second levant une ambiguïté de rédaction du projet de loi. Elle a ensuite rejeté un amendement de M. Emile Blessig rendant systématique l'association de la CNIL à la préparation de la position française dans les négociations internationales relatives aux traitements de données à caractère personnel. - Article 13 (nouveau) : Dispositions relatives à ses membres : La Commission a adopté deux amendements du rapporteur, le premier de précision sur le mode de désignation des parlementaires à la CNIL, le second tendant à maintenir le nombre actuel de représentants du Conseil économique et social en son sein. - Article 15 (nouveau) : Règles relatives à la formation plénière : La Commission a adopté un amendement du rapporteur, étendant les attributions que la CNIL peut déléguer à son président et à son vice-président. - Article 16 (nouveau) : Pouvoirs du bureau : La Commission a adopté un amendement du rapporteur tirant les conséquences du transfert de certaines attributions du bureau au président et vice-président de la CNIL. - Article 17 (nouveau) : Pouvoirs de la formation restreinte : La Commission a adopté un amendement du rapporteur associant les deux vice-présidents à la formation restreinte. Elle a ensuite adopté l'article 3 ainsi modifié. Article 4 (chapitre IV de la loi n° 78-17 du 6 janvier 1978) : Formalités préalables à la mise en _uvre des traitements - régime de la déclaration et régime de l'autorisation : - Article 25 (nouveau) : Autorisation préalable des traitements par la CNIL : La Commission a adopté un amendement du rapporteur, reprenant dans cet article qui détermine les traitements soumis à l'autorisation préalable de la CNIL, les dispositions de l'article 28 (nouveau) prévoyant que celle-ci se prononce dans un délai de deux mois, renouvelable une fois, l'absence de décision étant considérée comme un rejet. - Article 28 (nouveau) : Délais de réponse de la CNIL : La Commission a adopté, par coordination avec l'amendement adopté à l'article 25 (nouveau), deux amendements présentés par le rapporteur. Puis, la Commission a adopté l'article 4 ainsi modifié. Article 5 (chapitre V de la loi n° 78-17 du 6 janvier 1978) : Obligations des responsables des traitements de données à caractère personnel et droits des personnes concernées : - Article 32 (nouveau) : Information de la personne concernée : La Commission a adopté un amendement du rapporteur prévoyant qu'une personne auprès de laquelle des données sont recueillies est informée des destinataires ou catégorie de destinataires de ces données, mais non de leur identité comme le prévoyait le projet de loi. Puis, elle a été saisie d'un amendement de M. Emile Blessig subordonnant l'utilisation sans consentement préalable des réseaux de communication électronique pour stocker ou obtenir un accès à des informations situées dans l'équipement terminal d'un abonné ou d'un utilisateur, notamment par la technique dite des « cookies », à l'information explicite des personnes concernées. Convenant que cet amendement abordait un véritable problème, dont l'acuité était renforcée par le développement des réseaux numériques, le rapporteur a indiqué qu'un projet de directive communautaire en cours d'élaboration prévoyait d'interdire le recours à ce type de technique de collecte de données sans consentement exprès des personnes concernées. Il a observé que le dispositif proposé était moins protecteur, puisqu'il maintenait la possibilité de recourir à de telles pratiques sans consentement des personnes concernées, sous la seule réserve qu'elles en soient préalablement informées. Jugeant comme le rapporteur que le dispositif proposé par cet amendement n'était pas suffisamment protecteur, M. Alain Vidalies a néanmoins considéré qu'il serait opportun de légiférer en cette matière dans le cadre du présent projet de loi. Le rapporteur ayant indiqué qu'il envisageait de proposer un dispositif alternatif avant la discussion en séance publique, la Commission a rejeté cet amendement. - Article 35 (nouveau) : Sous-traitance des traitements : La Commission a adopté un amendement d'ordre rédactionnel présenté par le rapporteur. - Article 38 (nouveau) : Droit d'opposition au traitement des données par la personne concernée : La Commission a rejeté un amendement de M. Emile Blessig tendant à permettre à toute personne physique de s'opposer de façon discrétionnaire, et non pour des « motifs légitimes » comme le prévoit le projet de loi, à ce que des données la concernant fassent l'objet d'un traitement, le rapporteur ayant souligné que ce dispositif serait contraire aux termes de la directive, qui subordonne l'exercice du droit d'opposition à l'existence de raisons « prépondérantes et légitimes ». - Article 39 (nouveau) : Droit de communication et d'accès aux données de la personne concernée : La Commission a adopté un amendement du rapporteur précisant que le droit d'accès des personnes concernées aux données ne doit pas porter atteinte au droit d'auteur et, notamment, aux droits des créateurs de logiciels et des producteurs de bases de données. M. Jean Codognès a ensuite retiré un amendement prévoyant que le responsable du traitement est tenu de conserver les données concernant une personne faisant usage de son droit d'accès pendant les trois mois suivant la réception de la demande, le rapporteur, favorable à cet amendement, ayant toutefois jugé qu'il était formellement perfectible. Puis, la Commission a adopté un amendement du même auteur permettant au juge saisi, en cas de risque de disparition ou de dissimulation de données faisant l'objet d'une demande de communication par une personne concernée, d'ordonner toute mesure nécessaire, y compris par ordonnance sur requête et non en référé comme le prévoit le projet de loi. La Commission a également adopté un amendement du rapporteur permettant au responsable d'un traitement de s'opposer à toutes demandes d'accès manifestement abusives, l'appréciation du caractère abusif de ces demandes n'étant plus limitée à leur nombre, leur caractère répétitif ou systématique. Elle a enfin adopté un amendement de M. Jean Codognès prévoyant, en cas de contestation du caractère manifestement abusif des demandes, que la charge de la preuve incombe au responsable du traitement et non à l'auteur des demandes. - Article 40 (nouveau) : Droit de rectification des données par la personne concernée : La Commission a adopté un amendement d'ordre rédactionnel présenté par le rapporteur. Puis, elle a adopté l'article 5 ainsi modifié. Article 6 (chapitre VI de la loi n° 78-17 du 6 janvier 1978) : Pouvoirs de contrôle sur place et sur pièces de la CNIL : - Article 44 (nouveau) : Pouvoir de contrôle de la CNIL : La Commission a adopté deux amendements du rapporteur, le premier d'ordre rédactionnel et le second précisant que seules les données médicales figurant dans des traitements mis en _uvre par un membre d'une profession de santé et nécessaires aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soin ou de traitement, ou à la gestion de services de santé, ne peuvent être communiquées qu'à un médecin et non directement aux membres de la CNIL effectuant un contrôle sur place, M. Alain Vidalies, ayant souligné que la règle du secret médical lui avait était fréquemment opposée dans le cadre des missions de contrôle qu'il avait été amené à effectuer en tant que membre de la CNIL. La Commission a adopté l'article 6 ainsi modifié. Article 7 (chapitre VII de la loi n° 78-17 du 6 janvier 1978) : Pouvoirs de sanction administrative de la CNIL : - Article 45 (nouveau) : Pouvoir de sanction administrative de la CNIL : La Commission a adopté un amendement du rapporteur permettant à la CNIL, comme le prévoit le droit en vigueur, de procéder à la destruction des traitements, à l'exception de ceux mis en _uvre par l'Etat en matière de défense, de sécurité ou de sûreté publique, lorsque leur responsable ne se conforme pas à la mise en demeure qu'elle lui a préalablement adressée. - Article 46 (nouveau) : Procédure contradictoire préalable au prononcé des sanctions : La Commission a adopté un amendement du rapporteur renforçant les droits de la défense en permettant au responsable d'un traitement susceptible d'être sanctionné par la CNIL de se faire représenter ou assister. - Article 47 (nouveau) : Montant de la sanction pécuniaire : La Commission a été saisie d'un amendement de M. Emile Blessig portant à 1 500 000 euros, contre 150 000 dans le projet de loi, le montant maximum de la sanction financière susceptible d'être prononcée par la CNIL à l'encontre du responsable d'un traitement qui ne respecterait pas les obligations de la loi. Son auteur a fait observer que le pouvoir de sanction financière de la CNIL se trouverait ainsi aligné sur celui du Conseil de la concurrence, autre autorité administrative indépendante. Le rapporteur a considéré qu'il n'était pas judicieux de comparer le rôle de ces deux institutions, le Conseil de la concurrence étant saisi d'affaires dont les enjeux financiers sont sans commune mesure avec celles que connaît la CNIL. Il a, en outre, jugé nécessaire de maintenir, comme le prévoit le projet de loi, une hiérarchie des peines selon le caractère réitéré ou non des manquements commis par le responsable du traitement. M. Emile Blessig a alors retiré son amendement. Puis, la Commission a été saisie d'un amendement du rapporteur précisant que le caractère réitéré des manquements commis par le responsable d'un traitement n'est pris en compte que dans les trois ans suivant la date à laquelle une précédente sanction est devenue définitive. Jugeant la période proposée trop brève, M. Alain Vidalies a proposé de la porter à cinq années. Le rapporteur ayant accepté cette proposition, la Commission a adopté son amendement ainsi sous-amendé. La Commission a adopté l'article 7 ainsi modifié. Article 8 (chapitre VIII de la loi n° 78-17 du 6 janvier 1978) : sanctions pénales et délit d'entrave à l'action de la CNIL, information de la CNIL par le procureur de la République La Commission a adopté l'article 8 sans modification. Article 9 (chapitre IX de la loi n° 78-17 du 6 janvier 1978) : Adaptation du régime appliqué aux traitements ayant pour fins la recherche dans le domaine de la santé : La Commission a adopté trois amendements du rapporteur, le premier rectifiant une erreur matérielle, le second prévoyant que l'avis du comité d'experts n'est pas requis lorsque des méthodologies de référence auront été établies dans le cadre des catégories les plus usuelles de traitements, le troisième prévoyant également une possibilité de dispense de l'avis du comité pour les autres catégories de traitements. Elle a ensuite adopté l'article 9 ainsi modifié. Article 10 (chapitre X de la loi n° 78-17 du 6 janvier 1978) : Adaptation des dispositions relatives aux traitements des données à des fins d'évaluation des pratiques de santé : La Commission a adopté l'article 10 sans modification. Article 11 (chapitre XI de la loi n° 78-17 du 6 janvier 1978) : Traitements de données aux fins de journalisme et d'expression littéraire et artistique : La Commission a adopté un amendement substituant au terme de « délégué » à la protection des données dans les organes de presse, le terme de « correspondant », puis elle a adopté l'article 11 ainsi modifié. Article 12 (chapitre XII de la loi n° 78-17 du 6 janvier 1978) : Transfert de données à caractère personnel vers des Etats tiers : - Article 69 (nouveau) : La Commission a examiné un amendement présenté par M. Emile Blessig requalifiant le niveau de protection minimale requis pour que des données à caractère personnel puissent être transférées vers un Etat n'appartenant pas à la communauté européenne, en exigeant que celui-ci soit « équivalent à celui assuré sur le territoire national » et non pas « suffisant ». Le rapporteur a observé que le terme « suffisant », qui figure dans le projet de loi, traduisait celui d'« adéquat » utilisé par la directive, l'équivalence des niveaux de protection n'étant requise qu'à l'intérieur du territoire de l'Union européenne. Il a estimé que la France ne pouvait se distinguer de ses partenaires dans un domaine où il est particulièrement important que les textes soient parfaitement harmonisés entre les Etats membres. M. Jean-Pierre Michel a observé que cet amendement aurait pour effet d'empêcher une multinationale dont le siège serait implanté sur le territoire européen de transférer des données à caractère personnel vers une filiale située aux Etats-Unis, le niveau de protection garanti dans ce pays étant en deçà des normes européennes. La Commission a rejeté cet amendement. Elle a ensuite adopté un amendement du rapporteur confirmant la possibilité de transférer des données personnelles vers un Etat tiers ne disposant pas d'un niveau de protection suffisant lorsque la personne concernée a accepté le principe dudit transfert, sous réserve cependant que cet accord devra avoir été consenti « expressément ». Elle a également adopté un amendement rédactionnel du rapporteur. Puis elle a adopté l'article 12 ainsi modifié. Article 13 (chapitre XIII de la loi n° 78-17 du 6 janvier 1978) : Conditions et champ d'application de la loi : La Commission a adopté cet article sans modification. Article 14 : Sanctions pénales : La Commission a adopté trois amendements du rapporteur relevant et harmonisant le niveau des sanctions pénales réprimant les infractions à la loi du 6 janvier 1978, le rapporteur ayant indiqué que ce niveau était abaissé par le projet de loi par rapport au droit existant, alors que la protection des données personnelles et de la vie privée ne revêt pas une moindre valeur aujourd'hui qu'hier. Elle a également adopté deux amendements de précision du rapporteur, le premier étendant à l'ensemble des traitements, automatisés ou non, certaines sanctions pénales, le second permettant de sanctionner la conservation de données pendant une durée excessive ou le détournement de leur finalité au regard d'une norme d'exonération de déclaration édictée par la CNIL. Elle a ensuite adopté l'article 14 ainsi modifié. TITRE II
DISPOSITIONS MODIFIANT D'AUTRES TEXTES LÉGISLATIFS Article 15 (art. 10 de la loi n° 95-73 du 21 janvier 1995) : La Commission a adopté un amendement du rapporteur précisant que seuls les systèmes de vidéosurveillance destinés à assurer la protection de certains lieux publics ou ouverts au public peuvent relever des dispositions de la loi du 21 janvier 1995, sous réserve que les enregistrements ne soient pas utilisés dans des traitements ou des fichiers structurés. Elle a également adopté un amendement du rapporteur prévoyant que le Gouvernement remettra chaque année à la CNIL un rapport sur l'application de la réglementation relative à la vidéosurveillance issue de la loi du 21 janvier 1995. Puis elle a adopté l'article 15 ainsi modifié. Articles additionnels après l'article 15 : Statistiques relatives au pacte civil de solidarité ; mention du pacte civil de solidarité en marge de l'état civil : La Commission a été saisie de deux amendements de M. Jean-Pierre Michel portant articles additionnels au projet de loi : le premier tendant à l'établissement de statistiques semestrielles sur le pacte civil de solidarité ; le second visant à supprimer les registres tenus au lieu de naissance des signataires d'un pacte et à leur substituer une mention en marge de l'acte de naissance des intéressés. Présentant ces deux amendements, leur auteur a indiqué qu'ils faisaient suite aux conclusions du rapport d'information approuvé par la commission des Lois et la commission des Affaires culturelles le 13 novembre 2001. Contestant la notion même de « cavaliers législatifs » - qui, a-t-il rappelé, n'a pas de fondement dans le texte même de la Constitution mais résulte d'une jurisprudence du Conseil constitutionnel qui a pour effet de limiter le droit d'amendement des parlementaires - il a considéré que ces deux amendements n'étaient pas sans lien avec le projet de loi puisqu'ils portaient sur le traitement des données personnelles relatives aux signataires d'un PACS. Après avoir fait observer que la CNIL avait émis un avis très restrictif sur la production de statistiques relatives au PACS en excluant toute donnée chiffrée sur l'orientation sexuelle des personnes concernées, il a indiqué que les mesures réglementaires en vigueur s'opposaient à la production de statistiques exhaustives, alors même que les chercheurs souhaitaient obtenir des données fiables et complètes pour établir un bilan de la loi. Il a, par ailleurs, déclaré que les auditions conduites dans le cadre de la mission d'information sur l'application de la loi relative au pacte civil de solidarité avaient montré le caractère contraignant pour les tribunaux d'instance et les notaires de l'absence de publicité des registres contenant les informations relatives au PACS, puisque celle-ci impose la production de certificats de « non-PACS » par les juridictions. Il a considéré que l'inscription en marge de l'état civil des mentions relatives à la conclusion ou à la fin d'un PACS permettait d'apporter une solution simple à ce problème, sans modifier le lieu de conclusion du pacte ni en faire un acte d'état civil à part entière. Il a, enfin, rappelé que ces propositions avaient fait l'objet d'un large accord lors de leur présentation devant la commission des Lois et la commission des Affaires culturelles, y compris dans les rangs de l'opposition. Le rapporteur a estimé que, malgré les arguments convaincants développés par l'auteur de ces deux amendements, ceux-ci avaient le caractère de cavaliers législatifs. Il a ainsi souligné que l'établissement de statistiques anonymes était sans rapport avec le traitement des données personnelles. Il a, par ailleurs, déclaré que la chancellerie lui avait indiqué que la production des certificats de « non-PACS » par les tribunaux d'instance ne soulevait plus aujourd'hui de problèmes, car le nombre des demandes des notaires avait largement diminué. Pour ces raisons, il s'en est remis à la sagesse de la Commission sur ces deux amendements, que la Commission a adoptés. Article additionnel après l'article 15 : Coordination : La Commission a adopté un amendement du rapporteur modifiant les références aux articles de la loi du 6 janvier 1978 figurant dans différents codes et lois afin de tenir compte de la nouvelle numérotation résultant du projet de loi. TITRE III
DISPOSITIONS TRANSITOIRES Article 16 : Mise en conformité des traitements existants avec le nouveau régime : La Commission a adopté un amendement d'ordre rédactionnel présenté par le rapporteur, puis l'article 16 ainsi modifié. Article 17 : Mandat des membres en fonction de la CNIL : La Commission a adopté deux amendements du rapporteur, le premier supprimant le régime transitoire applicable aux représentants du conseil économique et social, en cohérence avec le maintien de la composition actuelle de la CNIL, le second repoussant l'application des nouvelles règles de durée maximale d'appartenance à la CNIL à l'expiration des mandats actuels. Elle a ensuite adopté l'article 17 ainsi modifié. Puis, la Commission a adopté l'ensemble du projet de loi ainsi modifié.
© Assemblée nationale |