Fabrication de la liasse
Rejeté
(mercredi 7 février 2018)
Photo de madame la députée Danièle Obono
Photo de madame la députée Clémentine Autain
Photo de monsieur le député Ugo Bernalicis
Photo de monsieur le député Éric Coquerel
Photo de monsieur le député Alexis Corbière
Photo de madame la députée Caroline Fiat
Photo de monsieur le député Bastien Lachaud
Photo de monsieur le député Michel Larive
Photo de monsieur le député Jean-Luc Mélenchon
Photo de madame la députée Mathilde Panot
Photo de monsieur le député Loïc Prud'homme
Photo de monsieur le député Adrien Quatennens
Photo de monsieur le député Jean-Hugues Ratenon
Photo de madame la députée Muriel Ressiguier
Photo de madame la députée Sabine Rubin
Photo de monsieur le député François Ruffin
Photo de madame la députée Bénédicte Taurine

Après le I de l’article 25 de la loi n° 78‑17 du 6 janvier 1978 précitée, il est inséré un I bis ainsi rédigé :

« I bis. – En application du 5 de l’article 36 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, sont aussi mis en œuvre après autorisation de la Commission nationale de l’informatique et des libertés les traitements automatisés relevant des missions d’intérêt public, notamment dans les domaines sociaux, éducatifs, économiques, environnementaux, sanitaires, médico-sociaux, de l’énergie, des transports et culturels.

« La liste de ces missions est précisée par décret en Conseil d’État dans les trois mois à compter de la promulgation de la présente loi. »

Exposé sommaire

Le règlement européen prévoit que les États peuvent définir des champs de “missions d’intérêt public” qui échappent à la fin de la nécessité d’une autorisation préalable. Or, le Gouvernement n’a pas du tout saisi cette possibilité pour mieux protéger les droits et libertés des citoyens en matière numérique.

Selon les termes mêmes du 5 de l’article 36 du règlement européen RGPD : “5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique.”.

Nous proposons ainsi que le niveau normatif législatif précise les champs dits de “mission d’intérêt public”, et que le niveau normatif réglementaire fasse un recensement exhaustif. En effet, le Gouvernement peut fixer quels types de traitements de données dans ces domaines devront faire l’objet d’une autorisation, et qui s’appliquera aux responsables de traitements de données et à la CNIL.

En effet, il nous semble que de nombreux traitements de données massifs en termes de personnes concernées, d’ores et déjà existants ne sont pas concernés par le régime d’autorisation, ce alors même que leur caractère massif et du type de données traitées pourrait induire une telle autorisation administrative, (traitements de données de l’État sur la paie des agents publics du type CHORUS, traitements de données de l’éducation nationale (notes, parents, adresses, etc), de Pôle emploi, des caisses d’assurance familiales).

C’est en ce sens que nous laissons au Gouvernement la possibilité de faire un recensement exhaustif des missions qui devraient faire l’objet d’une procédure d’autorisation par la CNIL eu égard au caractère d’intérêt public des missions exercées