Version PDF
Retour vers le dossier législatif

Document mis

en distribution

le 14 avril 2004

graphique

N° 1537

--

ASSEMBLÉE NATIONALE

CONSTITUTION DU 4 OCTOBRE 1958

DOUZIÈME LÉGISLATURE

Enregistré à la Présidence de l'Assemblée nationale le 13 avril 2004.

RAPPORT

FAIT

AU NOM DE LA COMMISSION DES LOIS CONSTITUTIONNELLES, DE LA LÉGISLATION ET DE L'ADMINISTRATION GÉNÉRALE DE LA RÉPUBLIQUE SUR LE PROJET DE LOI, MODIFIÉ PAR LE SÉNAT (N° 762), relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

PAR M. Francis DELATTRE,

Député.

--

Voir les numéros :

Assemblée nationale : 1re lecture : 3250, 3526 et TA 780 (11e législ.).

2e lecture : 762

Sénat : 1re lecture : 203 (2001-2002), 218 et TA 96 (2002-2003).

INTRODUCTION 5

A. LA LOI DU 6 JANVIER 1978 MAINTENUE MAIS PROFONDÉMENT REMANIÉE 6

B. LES MODIFICATIONS APPORTÉES PAR LE SÉNAT 7

C. LES PROPOSITIONS DE VOTRE COMMISSION DES LOIS 8

EXAMEN DES ARTICLES 11

TITRE IER DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978 RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS 11

Article 1er (art. 2 à 5 du chapitre Ier de la loi n° 78-17 du 6 janvier 1978) Détermination du champ d'application de la loi 11

Article 2 (Chapitre II de la loi n° 78-17 du 6 janvier 1978, art. 6 à 10) Conditions de licéité des traitements de données à caractère personnel 12

a) Des dispositions générales déterminant les conditions de licéité des traitements quasiment inchangées par le Sénat 13

b) Un renforcement de l'encadrement des droits des personnes en matière de traitements de données « sensibles » 14

c) Un assouplissement du régime juridique applicable aux traitements des données « sensibles » tendant à faciliter la mise en œuvre des traitements d'anonymisation 15

d) Une extension des possibilités de procéder à des traitements de données relatives aux infractions au profit des personnes morales qui en sont les victimes 16

e) Un assouplissement de la loi lorsqu'une décision favorable est prise sur le fondement d'un traitement de données 18

Article 3 (Chapitre III de la loi n° 78-17 du 6 janvier 1978) Composition et missions de la Commission nationale de l'informatique et des libertés 18

a) Une composition maintenue pour une déontologie renforcée 19

b) Des missions confortées 20

c) Des modalités de fonctionnement de la commission précisées et assouplies grâce au renforcement des pouvoirs du président et du bureau 22

Article 4 (Chapitre IV de la loi n° 78-17 du 6 janvier 1978) Formalités préalables à la mise en œuvre des traitements 23

a) Une innovation majeure : la dispense de toute formalité préalable au profit des organismes ayant désigné un « correspondant à la protection des données » 23

b) Le « correspondant à la protection des données » : un dispositif autorisé par la directive et d'ores et déjà expérimenté par certains états membres 25

c) Un régime de l'autorisation ne faisant plus référence aux traitements portant sur la totalité ou la quasi-totalité de la population française 28

d) Des dispositions communes précisées 31

Article 5 (Chapitre V de la loi n° 78-17 du 6 janvier 1978) Obligations incombant aux responsables de traitements et droits des personnes 31

a) Une clarification du régime juridique des « cookies » et des obligations incombant aux responsables des traitements 32

b) Un droit des personnes complété par l'information concernant les transferts de données à destination d'un État non membre de la communauté européenne 34

Article 6 (Chapitre VI de la loi n° 78-17 du 6 janvier 1978) Le contrôle de la mise en œuvre des traitements 35

Article 7 (Chapitre VII de la loi n° 78-17 du 6 janvier 1978) Sanctions prononcées par la Commission nationale de l'informatique et des libertés 37

a) Une limitation des pouvoirs de sanction de la cnil 37

b) Une publicité des sanctions conditionnée à « la mauvaise foi » du responsable du traitement 39

Article 8 (Chapitre VIII de la loi n° 78-17 du 6 janvier 1978) Dispositions pénales 40

Article 11 (Chapitre XI de la loi n° 78-17 du 6 janvier 1978) Traitements de données à caractère personnel aux fins de journalisme et d'expression littéraire et artistique 40

Article 12 (Chapitre XII de la loi n° 78-17 du 6 janvier 1978) Transfert de données à caractère personnel vers des États n'appartenant pas à la Communauté européenne 41

TITRE II DISPOSITIONS MODIFIANT D'AUTRES TEXTES LÉGISLATIFS 42

Article 14 (art. 226-16 à 226-24 du code pénal) Sanctions pénales 42

Article 15 ter (art. 515-3 du code civil) Mention en marge de l'acte de naissance de la déclaration du pacte civil de solidarité 43

Article 16 Dispositions transitoires - Entrée en vigueur 44

Article additionnel après l'article 16 Report de la mise en conformité des traitements non automatisés de souveraineté 44

TITRE III DISPOSITIONS TRANSITOIRES 44

Article 17 Mandat des membres en fonction de la CNIL 44

TABLEAU COMPARATIF 47

ANNEXE AU TABLEAU COMPARATIF 103

AMENDEMENTS NON ADOPTÉS PAR LA COMMISSION 107

MESDAMES, MESSIEURS,

Voici plus de deux ans, le 30 janvier 2002, notre assemblée adoptait en première lecture le présent projet de loi modifiant la loi n° 78-17 du 6 janvier 1978 dite « informatique et libertés », conformément aux exigences de la directive 95/46 CE du 24 octobre 1995 dont la transposition devait être effectuée par les États membres avant le 24 octobre 1998.

Certes, la loi du 6 janvier 1978 constitue, en quelque sorte, une « transposition anticipée » de la directive puisqu'elle est à l'origine de la réflexion communautaire en ce domaine et que nombre de ses dispositions satisfont d'ores et déjà aux objectifs de la directive. La Commission européenne s'est d'ailleurs montrée sensible à ces arguments puisque l'action en manquement engagée contre la France pour défaut de transposition de cette directive a été abandonnée à la fin de l'année 2000, notamment en raison de l'existence de la loi du 6 janvier 1978.

Toutefois, cette situation n'est pas satisfaisante puisqu'elle fait de notre pays l'unique État membre à ne pas avoir transposé la directive à ce jour. En effet, l'Italie a été la première à se mettre en conformité avec la directive 95/46 CE en adoptant la loi du 31 décembre 1996, dont l'entrée en vigueur a toutefois été reportée au 1er avril 2004. Pour sa part, la Grèce a transposé la directive en adoptant la loi du 9 avril 1997, tandis que la Suède, le Royaume-Uni, le Portugal et la Belgique prenaient les dispositions législatives requises en 1998. Cependant, d'autres États membres ont outrepassé les délais de transposition prévus par la directive. Il s'agit : de l'Espagne (loi du 14 décembre 1999) ; du Danemark (loi du 31 mai 2000) ; des Pays-bas (loi du 6 juillet 2000) ; de l'Allemagne (loi du 18 mai 2001) ; de l'Irlande (loi du 18 février 2002) et du Luxembourg (loi du 2 août 2002).

Malheureusement, le retard de notre pays en matière de transposition n'est pas limité à la seule directive du 24 octobre 1995. Ainsi, 54 textes communautaires étaient en attente de transposition au 30 novembre 2003, ce qui situe la France parmi les pays ayant un « taux de déficit » de transposition des plus élevés, de l'ordre de 3,3 %.

Or, comme l'a fort justement observé notre collègue Guy Geoffroy, cette situation « est préjudiciable à l'image européenne de la France comme à la sécurité juridique. » (1) En effet, ce retard excessif fragilise l'image de la France, affaiblit sa capacité d'influence et de négociation au sein de l'Union européenne tout en exposant notre pays à l'engagement d'actions en manquement de la Commission européenne. De surcroît, la sécurité juridique globale de notre pays s'en trouve affectée puisque le caractère directement applicable ou non des directives relève de l'appréciation du juge, ce qui provoque une incertitude quant à la règle opposable aux citoyens, aux entreprises et aux administrations, ce qui n'est guère satisfaisant.

Attaché au respect de nos engagements européens et désireux de conforter la position de la France au sein de l'Union européenne, le Gouvernement a entrepris une action résolue en matière de transposition des directives. Ainsi, le présent projet de loi a été examiné au Sénat en première lecture dès le mois d'avril 2003 et le Parlement vient d'autoriser le Gouvernement à transposer par ordonnances 22 directives, dont cinq devraient être normalement transposées entre février et août de cette année, les quinze autres possédant d'ores et déjà une date de transposition dépassée. Cet indéniable effort, que votre rapporteur approuve sans réserve, commence à porter ses fruits puisque notre pays connaît, à l'inverse de nombre de ses partenaires, une récente diminution du nombre de directives en retard de transposition.

A. LA LOI DU 6 JANVIER 1978 MAINTENUE MAIS PROFONDÉMENT REMANIÉE

Il convient de rappeler brièvement que, à l'issue du travail mené par M. Guy Braibant(2), le présent projet de loi fait le choix, symbolique, de maintenir en vigueur la loi du 6 janvier 1978 et, en particulier, son article premier dont la dernière phrase dispose que l'informatique « ne doit porter atteinte ni à l'identité humaine ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Comme l'avait déjà souligné le rapporteur de notre commission des lois à l'occasion de l'examen en première lecture de ce projet(3), cette décision a pour conséquence d'entraîner une indéniable complexité dans sa présentation. En effet, parce qu'il se conforme à l'ordre des différents chapitres de la directive, ce projet de loi substitue aux chapitres existants de la loi du 6 janvier 1978, de nouvelles dispositions dont certaines reprennent, déplacent ou modifient des articles figurant déjà dans la loi en vigueur.

Rappelons à cet égard, que la directive du 24 octobre 1995 procède d'une démarche en quatre étapes définissant, en premier lieu, les conditions générales de licéité des traitements, puis les droits fondamentaux des personnes concernées et les restrictions qu'il est possible de leur apporter, pour, finalement, déterminer les procédures et les recours destinés à assurer la régularité des traitements de données à caractère personnel. Cette structure du texte communautaire découle de la primauté qu'il accorde aux principes de fond sur les dispositions de forme, les États membres possédant davantage de latitude pour transposer les secondes que les premiers.

Or, au-delà de certains principes communs avec ceux de la loi du 6 janvier 1978, à l'instar de la loyauté de la collecte des données, de la protection des données dites sensibles, du principe de finalité des traitements ou du droit d'information, de rectification ou d'opposition des personnes, ainsi que de la nécessité de l'existence d'une autorité de contrôle indépendante, des différences substantielles demeurent entre la loi en vigueur et la directive 95/46. Il en est ainsi de l'article 20 de la directive, qui dispose que les États membres doivent préciser les traitements « susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en œuvre ».

En effet, en prévoyant de distinguer les régimes des formalités préalables en fonction de la dangerosité, supposée ou réelle, des traitements, la directive bouleverse le fondement même de la loi du 6 janvier 1978 et son critère « organique », qui prévoit que tous les traitements mis en œuvre par les personnes morales de droit public doivent être soumis à la procédure de l'autorisation préalable de la cnil, les traitements entrepris par les personnes morales de droit privé étant, pour leur part, soumis au simple régime de la déclaration préalable. La directive constitue donc, sans conteste, un progrès pour les libertés car si les menaces de l'État inquisiteur et omniscient demeurent, certains usages privés des traitements de données à caractère personnel ne peuvent plus être considérés, par principe, comme moins menaçants.

Par ailleurs, le choix de faire de la procédure de la déclaration préalable à la cnil la formalité préalable de droit commun (article 22 nouveau de la loi du 6 janvier 1978) a, pour nécessaire contrepartie, le renforcement des pouvoirs d'investigation et de sanction de la cnil. Ainsi, les membres de la CNIL et ses agents peuvent se rendre, entre 6 heures et 21 heures, dans tout local servant à la mise en œuvre d'un traitement de données à caractère personnel, à l'exclusion des parties de celui-ci affecté au domicile privé. De surcroît, ces personnes peuvent se faire communiquer toute pièce utile à leur mission (article 44 nouveau de la loi). En outre, l'opposition du responsable des lieux est susceptible d'être constitutive du délit d'entrave, puni d'un an d'emprisonnement et de 15 000 € d'amende (article 51 nouveau de la loi), le président de la CNIL pouvant saisir le président du tribunal d'instance, ou son délégué, selon la procédure du référé.

À ces pouvoirs de contrôle renforcés s'ajoute la possibilité pour la CNIL de prononcer des sanctions administratives graduées. En effet, l'article 45 nouveau de la loi confère à la commission le pouvoir de prononcer des avertissements, des mises en demeure ou des injonctions de cesser le traitement à l'égard du responsable contrevenant aux dispositions de la loi. En outre, à l'issue d'une procédure contradictoire, la CNIL pourra prononcer une sanction pécuniaire, dont le montant doit être proportionné à la gravité des manquements commis et aux avantages qui en ont été retirés. En tout état de cause, l'amende ne pourra pas excéder 150 000 € lors du premier manquement et 300 000 € en cas de réitération, dans la limite de 5 % du chiffre d'affaires.

B. LES MODIFICATIONS APPORTÉES PAR LE SÉNAT

Outre de nombreuses, bien que partielles, modifications rédactionnelles tendant à préciser que les données dont il s'agit ici sont « à caractère personnel », le Sénat a apporté des modifications tendant à :

faciliter le développement des traitements d'anonymisation des données (articles 2 et 8 nouveaux de la loi du 6 janvier 1978). À cette fin, le Sénat a ajouté une catégorie supplémentaire permettant de déroger à l'interdiction de procéder à des traitements portant sur des données « sensibles » lorsque celles-ci sont appelées à faire l'objet « à bref délai d'un procédé d'anonymisation » (II bis nouveau de l'article 8). Cette volonté d'encourager le recours à l'anonymisation des données s'explique par l'intérêt qu'il y a, tant pour les pouvoirs publics que pour les personnes privées, de disposer d'études qualitatives en matière médicale, sanitaire ou sociologique pour ne citer que ces quelques exemples. Toutefois, la seconde assemblée a prévu, afin de s'assurer de la protection des libertés individuelles, que les procédés tendant à l'anonymisation doivent avoir été préalablement autorisés par la cnil et que les traitements mettant en œuvre lesdits procédés doivent également lui être soumis ;

dispenser des formalités préalables prévues par la loi (déclaration et déclaration simplifiée) les traitements pour lesquels les responsables on désigné un « correspondant à la protection des données » (3° nouveau du II de l'article 22). L'objectif poursuivi par ce nouveau dispositif, auquel ont d'ores et déjà recours certains États membres de l'Union européenne à l'instar de l'Allemagne ou des Pays-bas, est avant tout pédagogique. En effet, l'introduction de correspondants devrait garantir une meilleure application de la loi du 6 janvier 1978 en facilitant sa prise en considération par les entreprises grâce à l'amélioration de la circulation de l'information entre le correspondant, les personnes chargées au sein de l'entreprise de recourir ou de mettre en place des traitements et la cnil, qui doit être informée de la désignation du correspondant ;

exclure du champ d'application de la procédure de l'autorisation préalable de la cnil (article 25 de la loi du 6 janvier 1978) les traitements portant sur la « totalité ou la quasi-totalité » de la population française. En effet, le Sénat, suivant le rapporteur de sa commission des Lois, a considéré, à juste titre, que cette notion était imprécise et souligné que la dangerosité pour les libertés des traitements de données à caractère personnel dépend davantage de la nature de ces dernières que de la dimension nationale ou quasi-nationale du traitement ;

limiter les pouvoirs de sanctions de la cnil en conditionnant le prononcé des sanctions pécuniaires à l'existence de « profit ou d'avantage économique » (article 45 de la loi du 6 janvier 1978) et la publication des sanctions à la « mauvaise foi » du responsable du traitement, ce qui risque d'amoindrir considérablement la crédibilité et les effets du pouvoir de sanction dévolu à la cnil.

C. LES PROPOSITIONS DE VOTRE COMMISSION DES LOIS

Tout en partageant la plupart des ajouts du Sénat et l'équilibre du texte ainsi obtenu, à l'exception des restrictions apportées au pouvoir de sanction de la cnil, votre commission des Lois, suivant son rapporteur, a souhaité :

renforcer la lutte contre la contrefaçon et encourager la création en introduisant la possibilité pour les sociétés de perception des droits de mettre en œuvre des traitements portant sur les infractions aux droits d'auteurs (article 9 nouveau de la loi). En effet, les contrefaçons numériques, qui se développent sur le réseau Internet en particulier, portent un préjudice sérieux et croissant aux revenus des créateurs alors même que leur constatation demeure délicate. C'est la raison pour laquelle il est proposé d'accorder à ces personnes morales la possibilité de mettre en œuvre des traitements de données de nature pénale qui devraient faciliter la présentation des preuves des délits dont sont victimes auteurs et créateurs ;

conforter le statut du « correspondant à la protection des données » (article 22 nouveau de la loi) en prévoyant que celui-ci doit exercer sa mission en toute indépendance et bénéficier, à cet effet, des qualités requises ;

préciser les modalités juridiques de l'autorisation préalable par la cnil des traitements d'anonymisation. En effet, le dispositif adopté par le Sénat est d'une inutile complexité, puisque près de trois procédures différentes d'autorisation seraient susceptibles de s'appliquer aux traitements d'anonymisation. C'est la raison pour laquelle l'unification des procédures d'autorisation des traitements d'anonymisation au sein de l'article 25 nouveau de la loi du 6 janvier 1978 est proposée ;

- soumettre à la procédure de contrôle préalable de la cnil prévue à l'article 27 nouveau de la loi, d'une part, les traitements mis en œuvre pour le compte de l'État et portant sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes physiques et, d'autre part, les traitements mis en œuvre par l'État aux fins de mettre à disposition des usagers un ou plusieurs services par la voie électronique afin de favoriser le développement de « l'administration électronique » et, ce faisant, contribuer à l'amélioration du service public ;

conforter les droits des personnes (article 32 nouveau de la loi) en prévoyant que, lorsque les données sont collectées par voie de questionnaire, la personne concernée doit être informée, à sa lecture, de l'identité du responsable, de la finalité du traitement et de ses droits (droit d'accès, de rectification et d'opposition) ;

rétablir le pouvoir de sanction de la cnil en supprimant la condition relative à l'existence de « profit ou d'avantage économique » introduite par le Sénat (article 45 nouveau de la loi) tout en excluant l'État du champ d'application de la sanction pécuniaire. En effet, la cnil n'étant pas dotée de la personnalité morale et budgétairement rattachée au ministère de la Justice, il semble peu cohérent et dépourvu de tout intérêt de l'autoriser à sanctionner financièrement l'État puisque cela conduirait à prélever une somme pour la reverser immédiatement à la même personne morale ;

préserver la publicité des sanctions prononcées par la cnil (article 46 nouveau de la loi). Afin de garantir l'efficacité des sanctions prononcées par la commission tout en proportionnant le degré de publicité en fonction de la gravité des manquements, il est proposé que la cnil puisse rendre publics les avertissements qu'elle adresse mais que, s'agissant des autres sanctions pécuniaires ou d'injonction de cessation du traitement, leur publicité soit conditionnée à la mauvaise foi du responsable du traitement tout en pouvant être diffusée sur tous les supports que la commission désigne (journaux, publications, etc.).

EXAMEN DES ARTICLES

TITRE IER

DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978
RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS

Article 1er

(art. 2 à 5 du chapitre Ier de la loi n° 78-17 du 6 janvier 1978)


Détermination du champ d'application de la loi

Cet article du projet de loi regroupe les articles 2 à 5 nouveaux de la loi du 6 janvier 1978 qui ont pour objet de déterminer le champ d'application de la loi. A cette fin ils définissent, plus particulièrement, les notions de données à caractère personnel, de responsable ou de destinataire d'un traitement de données.

À l'initiative du rapporteur de sa commission des Lois, M. Alex Türk, le Sénat a souhaité préciser la notion de données à caractère personnel afin de faciliter le recours aux traitements tendant à « anonymiser » lesdites données.

En effet, selon le texte adopté par notre assemblée (article 2 nouveau de la loi du 6 janvier 1978), constitue une donnée à caractère personnel « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à une ou plusieurs éléments qui lui sont propres. » Observant qu'« une interprétation littérale de la loi [pourrait] aboutir à ce que des données issues de l'anonymisation soient encore soumise à la loi dès lors que les individus demeurent identifiables au moyen d'efforts exceptionnels »(4), le rapporteur a proposé un amendement, que le Sénat a adopté, précisant que « pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne. »

Tout en partageant cette volonté de faciliter le développement des traitements d'anonymisation en clarifiant la frontière entre une donnée à caractère personnel et une donnée anonyme, votre rapporteur s'interroge toutefois sur la clarté juridique de la rédaction proposée.

En effet, l'emploi de l'adverbe « raisonnablement » n'est pas sans ambiguïté et risque de provoquer de réelles difficultés d'interprétation, source de contentieux. Par ailleurs, la nouvelle rédaction proposée par le Sénat reproduit partiellement, non pas une disposition de la directive 95/46 CE du 24 octobre 1995, mais son considérant 26 qui, comme tout considérant, n'a pas de valeur normative mais explicative de l'intention du législateur européen. Dans ces conditions, il semblerait préférable de prévoir que, pour déterminer si une personne est identifiable, « l'ensemble des moyens destinés à permettre son identification » doit être pris en considération, nonobstant le caractère « raisonnable » ou non des procédés mis en œuvre. Suivant son rapporteur, la Commission a adopté un amendement en ce sens (amendement n° 2). Elle a, en revanche, rejeté un amendement de M. Michel Vaxès tendant à exclure du champ d'application de la loi les traitements mis en oeuvre sur des matériels non connectés à un réseau de télécommunication, le rapporteur ayant indiqué que ce dispositif était moins protecteur.

Il convient d'indiquer ici que les traitements portant sur des données dites « sensibles », à l'instar de celles faisant apparaître les origines raciales, les opinions religieuses, syndicales ou politiques, et appelées à faire l'objet, « à bref délai », d'un procédé d'anonymisation sont autorisés mais ne peuvent être mis en œuvre que sur autorisation de la CNIL et après que la commission ait reconnu ledit procédé comme étant conforme aux dispositions de la loi du 6 janvier 1978 (paragraphe II bis nouveau de l'article 8 introduit par le Sénat).

Enfin, le Sénat a modifié la rédaction de la définition de la personne concernée par le traitement de données à caractère personnel en substituant à une phrase rédigée au style indirect, une phrase au style direct. Ainsi, le texte adopté par la seconde assemblée prévoit que « la personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement » (dernier alinéa de l'article 2 nouveau).

A ce propos, il convient de préciser que cette définition ne saurait limiter la responsabilité des responsables de traitements à l'égard des personnes tierces, donc a priori « non concernées » par le traitement au sens de la loi, lorsque l'insuffisance des mesures de sécurité a conduit ces responsables à insérer dans le traitement les données d'une personne qui n'a pas de raison d'y figurer, en cas d'homonymie par exemple. Rappelons, en effet, que par un arrêt de la Cour d'appel de Paris du 15 février 1994, une centrale d'impayés a été condamnée pour défaut de sécurité du traitement au motif qu'une personne s'était vue refuser un crédit en raison de la présence d'un homonyme dans le fichier. Dans cette affaire, la Cour a rejeté l'argument du prévenu qui soutenait que le plaignant ne pouvait se prévaloir des dispositions de la loi du 6 janvier 1978, et du droit d'accès et de rectification en particulier, précisément parce qu'il n'était pas la « personne concernée » au sens de la loi bien qu'une décision de refus ait été prise à son encontre sur le fondement de données « la concernant » à mauvais escient, ce qui était pour le moins paradoxal et sans issue.

La Commission a adopté l'article premier ainsi modifié.

Article 2

(Chapitre II de la loi n° 78-17 du 6 janvier 1978, art. 6 à 10)


Conditions de licéité des traitements de données à caractère personnel

Le chapitre II de la loi du 6 janvier 1978 regroupe l'ensemble des dispositions déterminant les conditions de la licéité des traitements de données à caractère personnel tout en distinguant un régime juridique particulier concernant les données dites « sensibles ».

a) Des dispositions générales déterminant les conditions de licéité des traitements quasiment inchangées par le Sénat

L'article 6 nouveau, relatif aux modalités de la collecte des données, auquel le Sénat n'a apporté que quelques modifications d'ordre rédactionnel, dispose notamment que les données doivent être :

- adéquates, pertinentes et non excessives au regard desdites finalités ;

- exactes, complètes et, si nécessaires, mises à jour, rectifiées ou effacées ;

- conservées pendant une durée proportionnée à la finalité du traitement.

- collectées de manière loyale et licite et pour des finalités déterminées et qui ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, le 2° de cet article précise qu'un traitement ultérieur de données à des fins statistiques, ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales s'il est réalisé dans le respect des procédures prévues aux chapitre IV (formalités préalables) et V (obligations incombant aux responsables et droits des personnes) de la loi du 6 janvier 1978. Or, ces références sont incomplètes puisque les chapitres IX et X, respectivement relatifs aux demandes d'autorisation pour les traitements de recherche médicale et pour les traitements réalisés à des fins de recherche statistique introduits par les articles 9 et 10 du présent projet, devraient également être mentionnés. Après avoir adopté un amendement en ce sens du rapporteur (amendement n° 3), la Commission a, en revanche, rejeté un amendement de M. Michel Vaxès limitant la réutilisation des données personnelles en matière d'études statistiques et de recherche.

En outre, l'article 7 nouveau, auquel le Sénat n'a apporté que ces modifications formelles, prévoit que le traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire, alternativement, à l'une des conditions suivantes :

- le respect de d'une obligation légale incombant au responsable du traitement ;

- la sauvegarde de la vie de la personne concernée ;

- l'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ou d'un contrat auquel la personne concernée est partie ;

« la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée. »

A l'unisson des observations figurant dans le rapport de la commission des lois de l'Assemblée nationale rédigé à l'occasion de l'examen du présent projet en première lecture(5), le rapporteur du Sénat a souligné la portée « exceptionnellement générale » de cette dérogation à la règle du consentement de l'intéressé qui pourrait « à terme recouvrir la majorité des traitements du privé » et dans le cadre de laquelle « il appartiendra à la cnil de veiller au respect d'un équilibre, par son contrôle a priori ou a posteriori, sans préjudice de l'éventuelle appréciation du juge en cas de contentieux. Cette dérogation, de par son caractère très général, fragilise substantiellement la portée du principe du consentement de la personne qui ne saurait donc être considéré comme constituant la règle en matière de traitement des données » (6).

A son tour, votre rapporteur souscrit pleinement à ces analyses et s'inquiète, tout particulièrement, des risques de contentieux pour les entreprises qu'induit le caractère général et imprécis de cette dérogation qui, rappelons-le, reproduit pourtant littéralement les termes figurant au paragraphe f) de l'article 7 de la directive 95/46 qui lie les États membres.

b) Un renforcement de l'encadrement des droits des personnes en matière de traitements de données « sensibles »

L'article 8 nouveau de la loi du 6 janvier 1978, a pour double objet de définir les données sensibles dont le traitement est proscrit et d'énumérer les exceptions à cette interdiction.

· S'agissant de la définition des données sensibles, qui sont celles faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes ou qui sont relatives à la santé ou « à l'orientation sexuelle » de celles-ci, le Sénat a souhaité remplacer cette dernière expression par celle de « vie sexuelle », jugée plus large, et donc davantage protectrice du droits des personnes. Il convient de relever à ce propos que cette rédaction reprend les termes employés par la directive (1° de l'article 8).

· Par ailleurs, le texte adopté par notre assemblée en première lecture, disposait que l'interdiction de procéder à un traitement de données sensibles n'était pas applicable « si la personne concernée y consentait expressément ». Afin « d'éviter que des organismes tels que des compagnies d'assurance ou des employeurs puissent, au seul motif qu'ils auraient obtenu le consentement de l'intéressé, procéder à la collecte de données sensibles », y compris « s'ils exercent une certaine pression sur les personnes » (7), le Sénat a souhaité encadrer le champ d'application de cette dérogation générale en renvoyant à la loi le soin de déterminer les cas où le consentement de la personne n'est pas une condition suffisante pour autoriser la collecte de données sensibles (paragraphe 1° A nouveau du II de l'article 8).

Cette possibilité est d'ailleurs prévue par les dispositions du a) du paragraphe 2 de l'article 8 de la directive qui dispose que la législation de l'État membre peut prévoir le cas où l'interdiction de procéder à la collecte et au traitement de données sensibles « ne peut être levée par le consentement de la personne concernée. » Notons que le législateur a d'ores et déjà fait usage de cette possibilité puisque l'article L. 1141-1 du code de la santé publique prévoit que les entreprises et organismes qui proposent une garantie des risques d'invalidité ou de décès ne doivent pas tenir compte des résultats de l'examen des caractéristiques génétiques d'une personne demandant à bénéficier de cette garantie, « même si ceux-ci leur sont transmis par la personne concernée ou avec son accord. »

Ce renvoi à une loi postérieure est donc sans incidence sur le droit qui sera applicable à l'issue de l'adoption définitive du présent projet de loi puisque, comme l'a expliqué le Ministre de la Justice en séance publique au Sénat, « il n'a ni pour objet ni pour effet de restreindre les possibilités de traitement ouvertes par la loi ; il tend simplement à rappeler, dans un souci de précision juridique, qu'il existe des hypothèses où la loi pose elle-même des limites aux effets du consentement » (8).

c) Un assouplissement du régime juridique applicable aux traitements des données « sensibles » tendant à faciliter la mise en œuvre des traitements d'anonymisation

A l'initiative du rapporteur de sa commission des Lois, le Sénat a ajouté une catégorie supplémentaire permettant de déroger à l'interdiction de procéder à des traitements portant sur des données « sensibles » lorsque celles-ci sont appelées à faire l'objet « à bref délai d'un procédé d'anonymisation » (II bis nouveau de l'article 8). Cette volonté d'encourager le développement de l'anonymisation des données s'explique par l'intérêt qu'il y a, tant pour les pouvoirs publics que pour les personnes privées, de disposer d'études qualitatives en matière médicale, sanitaire ou sociologique pour ne citer que ces quelques exemples.

Toutefois, s'il est indéniable que l'anonymisation est, par définition, garante du caractère non personnel des données traitées et, de ce fait, sans danger pour les libertés personnelles, il importe toutefois de s'assurer de l'efficacité et de la rapidité du procédé tendant à transformer des données à caractère personnel en données anonymes. C'est la raison pour laquelle le Sénat a précisé que les données sensibles devaient faire l'objet d'un procédé d'anonymisation « à bref délai ». Observons néanmoins que cette notion est inhabituelle en droit français qui est davantage familier de la notion de « meilleurs délais », fréquemment utilisée dans le code de procédure pénale à titre d'illustration.

En outre, le paragraphe II bis nouveau prévoit que ledit procédé d'anonymisation doit avoir été « préalablement reconnu conforme aux dispositions » de la loi du 6 janvier 1978 par la cnil. Ce contrôle a priori devrait ainsi permettre l'examen approfondi de la fiabilité du procédé d'anonymisation par la commission et constitue une indéniable garantie compte tenu de la nature des données traitées. A cette première garantie, le texte adopté par le Sénat en ajoute une seconde puisqu'il appartiendra à la cnil d'autoriser ou de refuser les traitements concernés, « compte tenu de leur finalité ».

A la lecture de ce dispositif, il en ressort donc que les traitements portant sur des données sensibles anonymisées relèvent de la catégorie des traitements soumis à l'autorisation de la cnil qui connaît toutefois diverses modalités d'application selon son fondement juridique. Ainsi, les traitements ayant pour finalités la recherche dans le domaine de la santé prévus à l'article 9 du projet de loi (chapitre IX nouveau de la loi du 6 janvier 1978) doivent être autorisés par la cnil après l'avis du comité consultatif. Par ailleurs, les traitements de données à des fins d'évaluation des pratiques de santé font l'objet d'une autorisation expresse spécifique de la cnil (chapitre X de la loi inséré par l'article 10 du présent projet). Enfin, l'article 25 nouveau de la loi du 6 janvier 1978 détermine les modalités procédurales de droit commun de l'autorisation applicables aux traitements ne relevant pas des chapitres IX et X précités de la loi.

Cette multiplication des régimes d'autorisation n'est pas pleinement satisfaisante et pourrait conduire, dans le silence du texte adopté par le Sénat, à faire relever les traitements d'anonymisation d'au moins trois procédures concurrentes. Dans ces conditions, et par souci de simplification, il serait préférable d'unifier les régimes d'autorisation au profit de la procédure de droit commun prévue par l'article 25 nouveau de la loi. La Commission a adopté un amendement en ce sens du rapporteur (amendement n° 6) ainsi que deux amendements de précision du même auteur (amendements nos 4 et 5).

Au-delà des traitements d'anonymisation, le Sénat a introduit une catégorie supplémentaire de traitements dérogeant à l'interdiction de collecte des données sensibles au profit de ceux réalisés par l'insee ou l'un des services statistiques ministériels dans le respect de la loi du 7 juin 1951 sur l'obligation, la coordination et le secret en matière statistique et « après avis du Conseil national de l'information statistique. » Ce conseil, créé auprès de l'insee par l'article 1er de la loi précitée, est chargée de coordonner les enquêtes statistiques des services publics et établit annuellement un programme comprenant l'ensemble des enquêtes prévues pour l'année ainsi que les délais qui seront laissés aux personnes physiques et morales pour faire parvenir leur réponse. Ce programme et ses modalités sont arrêtés par le ministre dont relève l'insee. A la différence des traitements d'anonymisation évoqués précédemment, le texte adopté par le Sénat précise ici que ces traitements statistiques sont soumis à la procédure de l'autorisation préalable de la cnil prévue à l'article 25 de la loi du 6 janvier 1978.

d) Une extension des possibilités de procéder à des traitements de données relatives aux infractions au profit des personnes morales qui en sont les victimes

L'article 9 nouveau de la loi du 6 janvier 1978, reprenant très largement les dispositions de l'article 30 de la loi en vigueur, prévoit que seules les juridictions, les autorités publiques, les personnes morales gérant un service public ainsi que les auxiliaires de justice, mais pour les stricts besoins de l'exercice de leurs missions, sont autorisés à mettre en œuvre des traitements sur des données relatives aux infractions, condamnations et mesures de sûreté. Le caractère restrictif de ces dispositions, qui se justifie pleinement par la nature particulièrement sensible de ces données, est prévu par le paragraphe 5) de l'article 8 de la directive 95/46 CE qui indique, toutefois, que l'État membre peut prévoir des dérogations dès lors que celles-ci sont assortis des « garanties appropriées et spécifiques », sachant qu'un « recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique ».

Désireux de « réconcilier la cnil et les entreprises » et d'éviter la « prolifération des fichiers souterrains », selon les termes employés par le rapporteur de sa commission des Lois, le Sénat s'est fondé sur la possibilité offerte par la directive pour autoriser « les personnes morales victimes d'infractions, pour les strict besoins de la lutte contre la fraude » à mettre en œuvre des traitements de données relatives aux infractions et condamnations (3° nouveau de l'article 9). Toutefois, les modalités de ces traitements devront être « prévues par la loi ». De surcroît, ces traitements devront être autorisés par la cnil en application des dispositions du 3° du I de l'article 25 nouveau de la loi du 6 janvier 1978 qui prévoit que les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux mis en œuvre par les auxiliaires de justice, doivent lui être soumis.

Ce dispositif innovant appelle plusieurs remarques. Il va de soi que votre rapporteur partage la volonté exprimée par son homologue du Sénat de lutter contre la prolifération des traitements de données clandestins sur lesquels la cnil n'est en mesure d'exercer aucun contrôle et qui peuvent être particulièrement préjudiciables aux droits des personnes concernées, notamment en matière d'accès au crédit, au logement, ou à d'autres types de prestations ou de service. Confronté au développement de véritables « listes noires », le Sénat a fait le choix, lucide, d'offrir un cadre légal permettant aux personnes morales victimes d'infractions de mettre en œuvre des traitements de données ayant pour finalité la lutte contre la fraude, sans pour autant autoriser la mise en commun de telles données, comme cela semble être parfois le cas aujourd'hui.

Toutefois, force est de reconnaître que la notion de « victime d'infraction » est imprécise. En effet, est une victime la personne qui subit un préjudice. Or, comment attester de ce préjudice et de cette qualité ? Suffit-il du dépôt d'une plainte de la personne morale, sans égard à la réalité des faits allégués ni aux suites judiciaires qui lui sont données ? A l'inverse, faut-il conditionner la mise en œuvre des traitements sur les infractions à l'existence d'une décision de justice attestant de la qualité de victime, mais au risque d'introduire des délais peu raisonnables pour les entreprises concernées ? Par ailleurs, faut-il interdire aux personnes morales agissant pour le compte des victimes d'infractions de mettre en œuvre de tels traitements alors même que, prises isolément, certaines victimes ne possèdent pas les moyens de le faire ?

En outre, la notion de fraude est juridiquement tout aussi polysémique. En effet, si l'intention frauduleuse est un élément constitutif du vol comme le prévoit l'article 311-1 du code pénal, ou du délit de publicité mensongère ou trompeuse prévu à l'article L. 121-1 du code de la consommation, nombre de comportements frauduleux ne reçoivent pas de qualification pénale. Il en est ainsi des « fausses déclarations intentionnelles » de l'assuré, qui constituent une clause de nullité du contrat d'assurance (article L. 113-8 du code des assurances) susceptibles d'engager la responsabilité civile du souscripteur, mais nullement sa responsabilité pénale.

Dans ces conditions, le renvoi à une loi ultérieure et spécifique constitue une garantie certaine en matière de protection des libertés individuelles et répond à une exigence de sécurité juridique au regard de l'imprécision des termes employés. Après avoir rejeté deux amendements de suppression de l'article 9 présentés respectivement par MM. Michel Vaxès et Patrick Bloche, la Commission a adopté deux amendements du rapporteur, le premier autorisant les personnes morales « agissant pour le compte des victimes d'infraction » à mettre en œuvre des traitements portant sur les condamnations et mesures de sûreté dans des conditions prévues par une loi ultérieure, le second autorisant, dès l'entrée en vigueur de la présente loi, les sociétés de perception et de gestion des droits d'auteur à faire de même (amendements nos7 et 8 ).

e) Un assouplissement de la loi lorsqu'une décision favorable est prise sur le fondement d'un traitement de données

Afin de ne pas réduire les individus à de simples « profils » sur le fondement desquels les entreprises ou les administration seraient amenées à prendre des décisions, l'article 10 nouveau de la loi du 6 janvier 1978 dispose qu'aucune décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement de données destiné à définir le profil ou à évaluer certains aspects de sa personnalité.

Le texte adopté par notre assemblée en première lecture précisait ensuite qu'une décision prise dans le cadre de la conclusion ou de l'exécution d'un contrat et pour laquelle la personne concernée à été mise à même de présenter ses observations, « n'est pas regardée comme prise sur le seul fondement d'un traitement automatisé. » Il s'agit, notamment, de s'assurer que les entreprises de crédit ayant recours au « scoring » ne prennent pas leur décision sur le seul fondement des données en leur possession mais examinent la situation individuelle du demandeur dans le cadre d'une procédure contradictoire et personnalisée.

Toutefois, après que le rapporteur de sa commission des Lois ait observé que « la protection des droits et libertés des personnes n'implique que de viser les seules décisions de refus »(9), le Sénat a complété ce dispositif en prévoyant que ne sont pas regardées comme prises sur le seul fondement d'un traitement les décisions « satisfaisant les demandes de la personne concernée. » Cette distinction entre les décisions favorables qui, par définition, ne portent aucune atteinte aux droits des personnes puisqu'elles en sont à l'origine, et les décisions défavorables, constitue une indéniable simplification du droit. C'est la raison pour laquelle la Commission a rejeté un amendement de M. Patrick Bloche supprimant cette distinction. Elle a également rejeté un amendement de M. Michel Vaxès tendant à transformer le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (nir) en numéro « non signifiant » afin d'éviter des interconnexions, le rapporteur ayant observé que l'usage et le recours au nir étaient strictement encadrés par le projet de loi.

La Commission a adopté l'article 2 ainsi modifié.

Article 3

(Chapitre III de la loi n° 78-17 du 6 janvier 1978)


Composition et missions de la Commission nationale de l'informatique
et des libertés

Première « autorité administrative indépendante » créée par la loi en 1978, la cnil voit ses missions étoffées par le présent article du projet de loi. Celui-ci propose une nouvelle rédaction du chapitre III de la loi précitée qui regroupe les articles 11 à 21 nouveaux relatifs, notamment, aux missions de la cnil, à sa composition et aux prérogatives de ses différents organes délibérants, à l'organisation de ses services et aux règles applicables à ses agents.

a) Une composition maintenue pour une déontologie renforcée

S'agissant de la composition de la cnil, le texte adopté par l'Assemblée nationale en première lecture prévoyait que, parmi les dix-sept membres de la commission, trois d'entre eux étaient nommés par décret, dont deux « pour leur connaissance de l'informatique » (6° de l'article 13 nouveau). Désireux d'élargir les critères devant être pris en compte par le pouvoir de nomination, le Sénat a adopté une nouvelle rédaction de ce paragraphe prévoyant la désignation de « trois personnalités qualifiées pour leur connaissance de l'informatique ou des questions touchant aux libertés individuelles ». Cette référence aux libertés est la bienvenue compte tenu de l'évolution des techniques et de leur impact grandissant en matière de libertés publiques.

En ce qui concerne la durée du mandat des commissaires (II de l'article 13 nouveau), qui ne peut excéder dix années, le Sénat a modifié les dispositions applicables aux quatre parlementaires siégeant à la cnil. En effet, le texte adopté par notre assemblée prévoyait que ces derniers étaient désignés « après chaque renouvellement » de l'assemblée à laquelle ils appartiennent, ce qui a conduit le rapporteur du Sénat à estimer que cela « aboutirait à ce que les sénateurs ne soient désignés que pour trois ans » compte tenu du renouvellement partiel et triennal de la seconde assemblée. C'est la raison pour laquelle le texte adopté par le Sénat prévoit que les parlementaires désignés à la cnil siègent « pour la durée du mandat à l'origine de leur désignation »(10), soit pendant cinq ans pour les députés et pendant 9 ans ou six ans pour les sénateurs en fonction de l'entrée en vigueur progressive de l'abaissement à six ans de la durée du mandat sénatorial prévue par la loi organique du 30 juillet 2003. En outre, il convient d'indiquer ici, que le paragraphe IV nouveau de l'article 17 du projet de loi introduit par le Sénat prévoit que les nominations et renouvellement des membres de la cnil intervenus avant la publication de la présente loi ne sont pas pris en compte pour le calcul de la durée du mandat.

Par ailleurs, afin de renforcer le régime des incompatibilités et la déontologie des commissaires, le Sénat a prévu qu'aucun membre de la cnil ne peut participer à une délibération relative à un organisme au sein duquel il détient un intérêt « direct ou indirect », ce qui est plus contraignant que le texte adopté par notre assemblée qui se référait aux seuls « intérêts » du commissaire concerné (deuxième alinéa du II de l'article 14). De même, le Sénat a porté de dix huit à trente six mois la période devant précéder la participation d'un commissaire à une délibération ou une vérification relative à un organisme au sein duquel il a détenu un intérêt « direct et indirect » (3e alinéa du II du même article).

b) Des missions confortées

Les missions de la cnil sont énumérées à l'article 11 nouveau de la loi du 6 janvier 1978. Sans reprendre leur énumération exhaustive, on mentionnera, notamment, sa compétence générale tendant à s'assurer que les traitements de données sont mis en œuvre conformément à la loi. A ce titre, la cnil : autorise les traitements prévus à l'article 25 nouveau ; reçoit les réclamations et informe le procureur de la République des infractions dont elle a connaissance ; organise des contrôles sur place ; à la demande des organismes professionnels, donne un avis sur la conformité à la loi de leurs règles et procédures en matière de protection de données à caractère personnel ; délivre un label et peut être associée, à la demande du premier ministre, à la préparation de la positions française dans les négociations internationales relatives aux traitements de données.

A l'initiative du rapporteur de sa commission des Lois, le Sénat a complété ces missions en prévoyant que la cnil doit également :

- informer les « responsables » de traitements de leurs droits et obligations et non pas seulement « toutes les personnes concernées » comme le prévoyait le texte adopté par notre assemblée en première lecture, bien que la différence de portée juridique entre ces deux rédactions semble ténue (1° A de l'article 11) ;

- rendre publique, le cas échéant, son appréciation des conséquences de l'évolution des technologies de l'information sur les droits et libertés de la personne, le texte adopté par notre assemblée se cantonnant à exiger que la cnil se tienne informé en cette matière (3° de l'article 11) ;

- donner un avis, à la demande « d'organisation professionnelles ou d'institutions regroupant principalement des responsables de traitements », sur la conformité à la loi des systèmes ou procédures d'anonymisation qui lui sont soumis (a) du 2° de l'article 11). Notons à cet égard que le dispositif adopté par notre assemblée prévoyait que la cnil devait donner un avis à la demande « des organismes professionnels regroupant des responsables des traitements », ce qui était davantage restrictif que le texte adopté par le Sénat puisque celui-ci devrait permettre à des associations de chercheurs ou d'informaticiens regroupant « principalement », mais non exclusivement, des responsables de traitement de saisir pour avis la commission ;

- apporter son concours à d'autres autorités administratives indépendantes en matière de protection des données. Cette nouvelle disposition devrait permettre à la cnil de développer une véritable activité de conseil et de dialogue avec d'autres structures de même nature confrontées à des interrogations ou des difficultés en matière d'application ou d'interprétation de la loi « informatique et libertés », à l'instar de la commission d'accès aux documents administratifs (cada), de l'Autorité de régulation des télécommunications (art), voire du Conseil supérieur de l'audiovisuel (csa). Il s'agit, sans conteste, d'un enrichissement des missions déjà étoffées de la cnil auquel souscrit votre rapporteur bien que le dispositif proposé ne précise pas à quelle autorité appartient l'initiative ;

- être associée, à la demande du Premier ministre, non seulement à la « préparation » de la position française dans les négociations internationales comme le prévoyait le texte adopté par notre assemblée, mais également à sa « définition ». Cette nouvelle disposition ayant soulevé un débat en séance publique au Sénat, le ministre faisant part de sa « perplexité » avant de s'en remettre à la « sagesse » (11) de la seconde assemblée, il convient d'en préciser la portée.

En premier lieu, elle ne saurait être interprétée comme empiétant sur les prérogatives dévolues au pouvoir exécutif en matière de négociation des traités et, en particulier, comme limitant la compétence du Président de la République qui négocie et de ratifie les traités comme le prévoit l'article 52 de la Constitution. Comme l'a indiqué le rapporteur, « il n'appartient pas à la cnil, cela va de soi, de s'immiscer ou de s'imposer dans la définition d'une position internationale. S'il est bien de préciser que le Gouvernement doit s'efforcer d'associer la cnil, de la consulter et de l'informer, [...] le Gouvernement doit garder son entière liberté d'action dans cette matière régalienne. [...] La cnil, associée, intervient pour aider, pour appuyer, et non pas pour siéger à côté du représentant de l'exécutif français dans les négociations internationales. » (12)

Ces précisions étant apportées quant au respect des prérogatives du pouvoir exécutif, il importe, en second lieu, de souligner que l'association de la cnil à la négociation internationale ne saurait conduire à remettre en cause son indépendance solennellement affirmée au premier alinéa de l'article 11 nouveau de la loi ;

- communiquer son rapport public annuel au « Premier ministre », et non pas uniquement au Président de la République et au Parlement, comme le prévoyait le texte adopté par l'Assemblée nationale en première lecture (dernier alinéa de l'article 11 de la loi).

Par ailleurs, afin de faciliter l'exercice de la mission de la cnil, le Sénat a complété les dispositions de l'article 21 nouveau de la loi en précisant que les ministres, autorités publiques ou privées, responsables de groupements divers et « plus généralement », les détenteurs ou utilisateurs de données à caractère personnel « ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent, au contraire, prendre toute mesure utile afin de faciliter sa tâche. » Cette rédaction reprend des dispositions qui figurent actuellement au dernier alinéa de l'article 21 de la loi du 6 janvier 1978 en vigueur et possède une valeur pédagogique certaine, susceptible de faciliter la tâche de la cnil, en particulier dans l'exercice de son pouvoir de contrôle sur place et sur pièces.

S'agissant des modalités pratiques du contrôle sur place des membres et agents de la cnil, il convient de souligner que le dernier alinéa de l'article 21 nouveau dispose que les personnes interrogées dans ce cadre « sont tenues de fournir les renseignements demandés » sauf « dans le cas où elles sont astreintes au secret professionnel ». Compte tenu du nombre élevé des professions concernées par un tel secret et de la portée générale de cette disposition, il est à craindre que la mission de contrôle de la cnil, que le présent projet entend, à juste titre, développer ne s'en trouve parfois limitée. De surcroît, nombre d'États membres de l'union européenne ont, à l'inverse, adopté des dispositions législatives prévoyant l'inopposabilité du secret professionnel à l'instar de l'Allemagne (article 24 de la loi fédérale du 18 mai 2001), du Portugal (article 17 de la loi du 6 octobre 1998) ou du Royaume-Uni (article 58 de la loi du 16 juillet 1998) pour ne citer que ces quelques exemples.

c) Des modalités de fonctionnement de la commission précisées et assouplies grâce au renforcement des pouvoirs du président et du bureau

Afin d'offrir davantage de souplesse au fonctionnement de la cnil, sans changer substantiellement son organisation, le Sénat a complété la liste des matières pour lesquelles la commission peut déléguer certaines de ses compétences à son président ou à son vice-président délégué et qui sont énumérées à l'article 15 nouveau de la loi du 6 janvier 1978. Sur le fond, il s'agit de :

- la réception des réclamations, pétitions et plaintes et de l'information des auteurs quant aux suites données à celles-ci qui constituent des tâches se prêtant mal à une gestion collégiale compte tenu de leur nombre et de leur fréquence ;

- l'association, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données. Là aussi, la délégation de compétence de l'organe collégial à un ou deux de ses membres correspond à une nécessité en terme d'efficacité et de logistique qui n'est pas contestable ;

- l'information de la Commission des communautés européennes et des autorités de contrôle des autres États membres des décisions de transfert de données en direction d'un État n'assurant pas un niveau suffisant comme l'article 69 nouveau de la loi du 6 janvier 1978 lui en offre la possibilité. Là encore, la nécessaire célérité des décisions en matière de transfert de données justifie qu'une délégation puisse être accordée par l'organe collégial au président ou au vice-président délégué.

Poursuivant dans cette logique, le Sénat a complété les compétences susceptibles d'être dévolues au bureau de la cnil, composé du président, et des deux vice-président comme le précise l'article 16 nouveau de la loi du 6 janvier 1978, en mentionnant, « en cas d'urgence », les décisions relevant du champ de l'article 25 nouveau de la loi qui regroupe l'ensemble des traitements soumis à l'autorisation de la cnil. Cette délégation de compétence, particulièrement vaste et portant sur les traitements les plus susceptibles de porter atteinte aux libertés, est cependant conditionnée à l'existence d'une situation d'urgence qu'il conviendra de caractériser avec précision.

Par coordination avec cette extension des compétences susceptibles d'être déléguées au bureau, le Sénat a prévu que le commissaire du gouvernement assiste à toutes les délibérations de la cnil (article 18 nouveau de la loi), y compris celles du bureau qui ont pour objet l'exercice des nouvelles attributions déléguées en application de l'article 16. A ce propos, rappelons que le commissaire du Gouvernement peut, sauf en matière de sanction, provoquer une seconde délibération, comme le prévoit le second alinéa de l'article 18 nouveau qui, à la différence de l'article 9 de la loi du 6 janvier 1978, ne précise cependant pas que cette nouvelle délibération doit intervenir « dans les 10 jours ». C'est la raison pour laquelle la Commission a tout d'abord adopté un amendement du rapporteur précisant que la nouvelle délibération demandée par le commissaire du Gouvernement devait intervenir dans les dix jours suivant la délibération initiale (amendement n° 12) avant d'adopter trois amendements de précision du même auteur (amendements nos 9, 10 et 11). La Commission a, en revanche, rejeté un amendement de M. Michel Vaxès prévoyant la création, sur l'ensemble du territoire, de délégués de la cnil, le rapporteur ayant fait observer qu'il était irrecevable au sens de l'article 40 de la Constitution.

La Commission a adopté l'article 3 ainsi modifié.

Article 4

(Chapitre IV de la loi n° 78-17 du 6 janvier 1978)


Formalités préalables à la mise en
œuvre des traitements

Cet article de projet de loi insère le chapitre IV de la loi du 6 janvier 1978 qui regroupe l'ensemble des formalités préalables applicables aux traitements de données à caractère personnel (articles 22 à 31 nouveaux). Conformément aux dispositions des articles 18 et 20 de la directive 95/46 CE, les formalités préalables à la mise en œuvre des traitements de données doivent être distinctes selon la nature des données concernées, en particulier leur « dangerosité » pour les libertés individuelles (critère matériel), et non plus selon la qualité juridique du responsable du traitement (critère organique) comme le prévoit la loi du 6 janvier 1978 en vigueur.

Ainsi, l'article 22 nouveau de la loi du 6 janvier 1978 dispose que le régime de droit commun est celui de la déclaration, le régime de l'autorisation devenant l'exception dont le champ d'application est déterminé par les articles 25 à 27 nouveaux de la loi. Outre quelques modifications d'ordre rédactionnel appelant peu de commentaires, le Sénat a introduit les dispositions suivantes :

a) Une innovation majeure : la dispense de toute formalité préalable au profit des organismes ayant désigné un « correspondant à la protection des données »

Si le régime juridique de droit commun des traitements est déclaratif, le paragraphe II de l'article 22 nouveau énumère néanmoins un certain nombre d'hypothèses pour lesquelles la déclaration préalable n'est même pas requise. Il s'agit, rappelons-le, des traitements portant sur des données sensibles mais mis en œuvre par une association ou tout autre organisme à caractère religieux, philosophiques, politique ou syndical, ou des traitements ayant pour seul objet la tenue d'un registre destiné à l'information du public à l'instar des registres cadastraux.

A l'initiative du rapporteur de sa commission des Lois, le Sénat a complété cette liste des catégories de traitements exonérés de toute formalité préalable au profit du responsable de traitement ayant « désigné un correspondant à la protection des données à caractère personnel chargé d'assurer le respect des obligations prévues par la présente loi » (3° nouveau du II de l'article 22).

L'objectif poursuivi par ce nouveau dispositif est avant tout pédagogique puisque l'introduction de correspondants devrait favoriser l'application de la loi du 6 janvier 1978 en facilitant sa prise en considération par les entreprises. En effet, une meilleure circulation de l'information entre le correspondant, les personnes chargées au sein de l'entreprise de recourir ou de mettre en place des traitements et la cnil, devrait contribuer, sans conteste, à l'amélioration de la connaissance de la loi par les entreprises. En outre, comme l'a indiqué le rapporteur « ce système est également un substitut de la déconcentration, mais il est beaucoup plus souple que cette dernière. Or, M. le ministre rappelait [...] que l'objectif n'est pas d'ajouter sans cesse de nouvelles structures administratives. » (13).

Toutefois la dispense de déclaration ainsi introduite est soumise à certaines conditions censées en garantir l'efficacité tout en contrôlant sa portée :

le champ d'application de l'exonération ne s'applique pas dans l'hypothèse où un transfert de données à destination d'un État non membre de l'union européenne est envisagé mais concerne, en revanche, les traitements relevant de la procédure de l'autorisation préalable, ce qui ne semble pas souhaitable compte tenu de leur nature et de leurs risques, supposés ou réels, pour les libertés individuelles. En effet, le premier alinéa du II de l'article 22 nouveau dispose que catégories entrant dans son champ d'application, parmi lesquelles figurent les dispositions relatives au correspondant, ne sont soumises à « aucune des formalités préalables prévues au présent chapitre », ce qui inclut donc les articles 25 à 27 nouveaux relatifs aux traitements relevant de la procédure de l'autorisation. A l'inverse, le dispositif adopté par le Sénat omet, paradoxalement, de dispenser des formalités préalables les traitements entrant dans le champ d'application de la déclaration simplifiée prévue à l'article 24 de la loi et qui concerne pourtant les traitements les plus courants, ce qui n'est guère satisfaisant ;

- il appartient au correspondant de « tenir un registre des traitements effectués immédiatement accessibles à toute personne en faisant la demande ». Comme l'a indiqué le rapporteur de la commission des Lois en séance publique, l'intérêt de l'introduction des correspondants est de limiter les fichiers clandestins puisque la tenue de ce registre conduira à « révéler » à l'autorité de contrôle les fichiers auparavant non déclarés ;

- le correspondant ne peut faire l'objet « d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions », bien qu'il ne s'agisse pas juridiquement d'un salarié « protégé » au sens du droit du travail ;

- le correspondant peut saisir la cnil des difficultés qu'il rencontre dans l'exercice de sa mission, celle-ci devant se voir notifier toute désignation d'un correspondant ;

- en cas de manquement à ses devoirs, le correspondant peut être révoqué « sur demande ou après consultation » de la cnil. Dans ces conditions, le responsable du traitement peut être enjoint de procéder à la déclaration préalable dont il avait été dispensé, sans que le texte ne précise toutefois de qui émane cette injonction. A ce propos, il semblerait plus logique juridiquement et préférable pédagogiquement de prévoir, en premier lieu, que la cnil peut enjoindre au responsable n'ayant pas respecté la loi de procéder à la déclaration du traitement puis, en second lieu, de préciser les modalités de révocation du correspondant.

Enfin, si le dernier alinéa prévoit qu'un décret en Conseil d'État déterminera les modalités d'application de ces dispositions(14), celles-ci soulèvent toutefois certaines interrogations auxquelles les expériences étrangères apportent des éléments de réponse.

b) Le « correspondant à la protection des données » : un dispositif autorisé par la directive et d'ores et déjà expérimenté par certains états membres

L'article 18, paragraphe 2, de la directive 95/46 dispose que les États membres peuvent prévoir des simplifications de l'obligation de notification des traitements, voire une dérogation à celle-ci, lorsque le responsable du traitement désigne un correspondant chargé d'assurer « d'une manière indépendante », l'application de la loi en matière de données à caractère personnel et garantissant que les traitements ne sont pas « susceptibles de porter atteinte aux droits et libertés des personnes concernées. »

Lors des travaux préparatoires à la transposition de la directive 95/46 CE, la question de l'introduction de correspondants avait été débattue. Pour sa part, le rapport rédigé par M. Guy Braibant s'était exprimé en défaveur de cette innovation en soulignant que, dans les pays ou de telles fonctions existaient à l'instar de l'Allemagne, elle s'inscrivait dans le cadre d'une pratique ancienne de la cogestion faisant défaut en France. En effet, que les correspondants soient membres du personnel ou bien extérieurs à l'entreprise, ils demeurent rémunérés par celle-ci et, partant, soumis au pouvoir hiérarchique de ses dirigeants. C'est la raison pour laquelle le présent projet de loi avait initialement limité l'introduction d'un correspondant aux données à caractère personnel au secteur de la presse(15).

La garantie de l'indépendance est donc décisive puisqu'elle conditionne l'efficacité et la pertinence du dispositif des correspondants. A cet égard, les lois en vigueur en Allemagne et aux Pays bas précisent que le correspondant ne reçoit dans le cadre de ses fonctions aucune instruction de la part du responsable du traitement ou de l'organisation qui l'a désigné, ou encore que le correspondant ne doit subir aucune discrimination ou « inconvénient » du fait de l'exercice de ses fonctions. Ainsi, le correspondant allemand est-il directement placé sous l'autorité du directeur afin de ne pas subir de pression de la part de l'encadrement intermédiaire de son organisation. A cette aune, il semblerait opportun de préciser dans notre droit que le correspondant doit être « indépendant », à l'instar des dispositions de l'article 67 nouveau de la loi relatif au correspondant à la protection des données dans les entreprises de presse. C'est pourquoi, après avoir adopté un amendement rédactionnel du rapporteur (amendement n° 13), la Commission a adopté un amendement du même auteur précisant que le correspondant devait agir « de manière indépendante » et posséder « les qualifications requises » (amendement 14 ). En revanche, elle a tout d'abord rejeté un amendement de M. Patrick Bloche prévoyant que la cnil doit « agréer » la désignation du correspondant, le rapporteur ayant indiqué que ce dispositif aurait pour conséquence d'alourdir inutilement la charge de travail de la cnil, avant de rejeter un amendement de M. Michel Vaxès supprimant la possibilité pour la cnil de dispenser de déclaration certains traitements.

Le tableau suivant synthétise le régime applicable aux correspondants en Allemagne et aux Pays-bas.

Règles relatives au détaché à la protection des données personnelles

ALLEMAGNE

PAYS-BAS

Désignation

- Désignation obligatoire en principe.

- par écrit.

- dans un délai d'un mois à compter du début de l'activité de l'organisme.

- le délégué ne peut prendre ses fonctions qu'après que l'organisme ou le responsable a procédé à son enregistrement auprès de l'autorité.

Étendue de la désignation

- lorsque la structure d'un organisme public l'exige, la nomination d'un seul et même détaché pour plusieurs domaines est possible

- il est également possible de nommer « une personne externe à l'organisme »

- les organismes publics peuvent, avec l'accord de l'autorité de contrôle, nommer un agent d'un autre organisme public à ce poste

Qualités

- le détaché doit posséder les «  qualités et les capacités nécessaires pour pouvoir remplir ces fonctions ».

- « ne peuvent être désignés que des personnes physiques disposant de connaissances adéquates au regard des tâches à accomplir et pouvant être considérées comme dignes de confiance ».

- la loi néerlandaise utilise également le terme de « délégué interne ».

Statut

- le détaché « doit être directement placé sous l'autorité du directeur de l'organisme public ou privé ».

- il est « libre de toute instruction dans l'exercice de ses compétences dans le domaine de la protection des données ».

- il ne « doit pas subir de discrimination dues à sa fonction ».

- les personnes concernées peuvent à tout moment s'adresser aux délégués à la protection des données.

- le détaché à la protection des données peut s'adresser, en cas de doute, à l'autorité compétente auprès de l'organisme responsable.

- le délégué « ne reçoit, dans le cadre de l'exercice de ses fonctions, aucune instruction de la part du responsable de traitement ou de l'organisation qui l'a désigné ».

- il « ne subit aucun inconvénient du fait de l'exercice de ses missions ».

- il est précisé que « cette désignation ne réduit en rien les compétences de la Commission ».

Révocation

- le détaché « peut être révoqué en application de l'article 626 du code civil ou dans le cas des organismes privés, également sur demande de l'autorité de contrôle ».

Secret professionnel

- le détaché « est tenu au secret sur l'identité des personnes concernées ainsi que sur les circonstances permettant de tirer des conclusions sur ces personnes, à moins qu'il n'aie été délivré de cette obligation par la personne elle-même ».

- le délégué a l'obligation de considérer comme confidentielle toute information portée à sa connaissance à l'occasion d'une plainte ou de la demande d'une personne concernée, à moins que la personne ne consente au fait de rendre ces informations publiques.

Obligation de rendre compte

- le délégué doit produire un rapport annuel de ses activités et de ses conclusions.

Missions

- surveiller la conformité de l'utilisation des programmes de traitement des données.

- familiariser, grâce à des mesures appropriées, les personnes affectées au traitement avec les dispositions de la présente loi.

- le délégué à la protection des données reçoit les déclarations de l'organisme.

Moyens

- les organismes « doivent soutenir le détaché à la protection des données dans l'accomplissement de ses fonctions et doivent le doter du personnel, des locaux, du matériel, des appareils nécessaires à sa tâche ».

- il doit être informé en temps utile des projets de traitement.

- le responsable de traitement donne au délégué qu'il a désigné tous les moyens d'accomplir correctement ses missions.

- le délégué peut exprimer des recommandations au responsable de traitement afin d'améliorer la protection des personnes au regard des données faisant l'objet du traitement.

Au-delà de ces questions statutaires du correspondant, son indépendance implique également qu'il bénéficie de connaissances en matière de protection des données puisque, à défaut, sa désignation serait dépourvue de toute portée réelle. Cette question de la qualification requise pour être nommé correspondant n'est pas abordée par le dispositif introduit par le Sénat, à la différence du droit applicable en Allemagne et aux Pays bas où les correspondants doivent y posséder les « qualités requises » ou « adéquates » selon les cas.

Cette exigence, de bon sens, n'est pas sans conséquence pour l'autorité de contrôle puisque, selon les informations communiquées à votre rapporteur, en Suède et aux Pays-bas où le système se développe rapidement, les autorités de protection prennent en charge l'animation et la formation des correspondants. Dans ce cadre, elles ont mis en place les initiatives suivantes :

- organisation de journées de rencontre, de séminaires et de conférences au bénéfice exclusif des correspondants et mise en place d'un système de formation continue ;

- suivi des personnes désignées. Ainsi, lorsque l'autorité néerlandaise est informée d'une nouvelle désignation, elle entre en relation avec le correspondant afin d'évaluer la qualité de son travail ;

- mise en place, sur le site Web de l'autorité et en mode d'accès restreint, de groupes de discussion et d'échange d'information réservés aux correspondants ;

- création d'une newsletter électronique et d'un journal d'information à destination des correspondants afin de les tenir informés des évolutions normatives et des décisions de l'autorité ;

- instauration, au sein de l'autorité, d'une « hotline » et d'un centre d'appels téléphonique dédiés aux correspondants ;

- désignation, au sein de l'autorité, d'une personne ayant pour mission de suivre et d'animer le réseau des correspondants.

Au vu de ce qui précède, la gestion et l'animation d'un réseau de correspondants constitue donc une activité importante pour l'autorité qui représente, toutefois, la contrepartie du succès de leur mise en place. Somme toute, le bilan qui peut être dressé de l'institution des correspondants semble favorable bien que contrasté. En effet, aucun des pays dans lesquels ce système a été mis en œuvre ne parait envisager sa suppression car les correspondants constituent un réseau d'interlocuteurs privilégiés garantissant la bonne application de la loi, maintenant l'intérêt pour la protection des données personnelles et assistant les services compétents en cette matière juridique complexe. S'agissant des entreprises concernées, l'intérêt majeur de la création en leur sein d'un correspondant réside en l'absence de déclaration des traitements, ce qui est généralement perçu comme un opportun recul de la bureaucratie. Toutefois, le système des correspondants est susceptible de soulever certaines difficultés qu'il convient de conserver à l'esprit :

- pour les autorités indépendantes tout d'abord, puisque ce régime juridique raréfie la source d'information constituée par les formulaires de déclaration et leur impose, en conséquence, de développer leurs actions de contrôle et de communication, en particulier en direction de leur réseau de correspondants, ce qui représente une charge humaine et financière certaine ;

- pour les correspondants ensuite, puisque ceux-ci peuvent être confrontés à des situations de conflits d'intérêts, au sein de l'entreprise, ou bien entre l'entreprise et le respect de la loi, ce qui requiert que leur indépendance soit pleinement garantie ;

- pour les entreprises enfin, puisque la désignation d'un correspondant « qualifié » possède un coût en terme d'embauche puis de formation continue au cours de la carrière de la personne concernée.

c) Un régime de l'autorisation ne faisant plus référence aux traitements portant sur la totalité ou la quasi-totalité de la population française

Parmi les catégories de traitements de données à caractère personnel devant être préalablement autorisés par la cnil en application de l'article 25 nouveau de la loi du 6 janvier 1978, figuraient, dans le texte adopté par notre assemblée en première lecture, les traitements portant sur « la totalité ou la quasi-totalité de la population française » (6° de cet article).

En première lecture, le rapporteur de notre commission des Lois avait déjà eu l'occasion de souligner l'imprécision de ces termes et les incertitudes juridiques qu'ils entraînaient. Confirmant cette analyse, le Sénat a choisi de supprimer cette expression, le rapporteur de la commission des Lois estimant « que l'appréciation des risques envers la vie privée [doit] être qualitative et non quantitative. » (16) Par coordination, la référence à cette expression a également été supprimée au 2° de l'article 27 nouveau relatif aux traitements autorisés par décret en Conseil d'État pris après avis de la cnil et mis en œuvre pour le compte de l'État, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public.

Toutefois, si la référence à la dimension démographique nationale du traitement n'est pas un critère suffisant pour apprécier sa dangerosité au regard des droits et libertés fondamentales, il convient d'indiquer que seraient désormais exclus de la procédure d'autorisation de la cnil en application des dispositions adoptées par le Sénat, des traitements comme le ficoba de la direction générale des impôts, l'agdref (fichier national des étrangers du ministère de l'intérieur), le fichier national des cartes d'identité ou encore les fichiers d'abonnés d'edf et de gdf.

Par ailleurs, compte tenu de la nature des informations collectées à l'occasion du recensement de la population, le Sénat a maintenu dans le champ de l'autorisation par arrêté pris après avis de la cnil prévue au II de l'article 27 nouveau, « les traitements relatifs au recensement de la population mis en œuvre pour le compte d'un établissement public ou d'une personne morale de droit privé gérant un service public » (3° nouveau du II de l'article 27).

En outre, le Sénat a apporté les modifications suivantes au champ d'application du régime de l'autorisation préalable :

- en matière de sélection des personnes. Le texte adopté par notre assemblée en première lecture prévoyait que les traitements ayant pour finalité de « sélectionner » les personnes susceptibles « de bénéficier » d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire, devaient être soumis à l'autorisation préalable de la cnil (4° du I de l'article 25 nouveau). Désireux de simplifier le droit applicable, le Sénat a limité le champ d'application de l'autorisation préalable aux traitements susceptibles « du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes » d'un droit, d'un prestation ou d'un contrat.

Ce faisant, la seconde assemblée a procédé à une inversion complète du dispositif, puisque celui adopté par notre assemblée tendait à inclure dans le champ de l'autorisation préalable l'ensemble des traitements tendant à déterminer un profil ou une cible (par exemple les fichiers de marketing) tandis que le texte adopté par le Sénat limite celui-ci aux seuls traitements tendant à exclure une personne (les fameuses « liste noires »). A cette fin, la seconde assemblée s'appuie sur le considérant 53 de la directive 95/46 CE qui indique que les États membres peuvent prévoir un contrôle préalable sur les traitements susceptibles de présenter « des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée ou de leurs finalités telles que celles d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat. » Si cette rédaction peut se prévaloir de la directive, elle n'en introduit pas moins des notions imprécises en droit français. En effet, si le terme de « finalités » est familier en droit des données à caractère personnel, tel n'est malheureusement pas le cas de ceux se référant à la « nature » ou à la « portée » des traitements.

La Commission a tout d'abord rejeté un amendement de M. Patrick Bloche tendant à rétablir le texte adopté par l'Assemblée nationale en première lecture avant d'adopter trois amendements de précision du rapporteur (amendements nos 15, 16 et 17).

- en matière de traitements statistiques réalisés par l'insee (9° nouveau de l'article 25), comme votre rapporteur l'a déjà indiqué dans ses commentaires de l'article 8 nouveau de la loi du 6 janvier 1978. A cet égard, il convient de relever que les traitements d'anonymisation de données sensibles, introduits par le paragraphe II bis de l'article 8, ne figurent pas dans la liste des traitements énumérés à l'article 25 bien que leur dispositif se réfère à « l'autorisation » de la cnil, ce qui est imprécis ;

- relèvent désormais de la catégorie des traitements autorisés par arrêté pris après avis de la cnil ceux ne « donnant pas lieu » à une interconnexion, le texte adopté par notre assemblée se référant aux traitements n'ayant pas pour « objet » une telle opération, ce qui était davantage restrictif (3e alinéa du 2° du II de l'article 27 nouveau). Notons toutefois que la notion d'interconnexion, qui n'est pas définie dans la directive, est ambiguë et qu'il serait préférable de se reprendre les termes de l'article 19 de la loi actuelle qui se référent aux « rapprochement, interconnexion ou tout autre forme de mise en relation » ;

- en matière de délai de réponse. Saisie d'une demande d'autorisation prévue aux articles 25 à 27, la cnil dispose d'un délai de deux mois qui peut être renouvelé une fois sur décision du président « lorsque la complexité du dossier le justifie » (III de l'article 25 et I de l'article 28 nouveaux) prévoyait le texte adopté par notre assemblée. Jugeant cette condition trop restrictive, le Sénat l'a supprimée en exigeant, en contrepartie, que le président motive sa décision.

La Commission a rejeté un amendement de M. Michel Vaxès tendant à inclure dans le champ de l'autorisation préalable par la cnil, l'ensemble des traitements relatifs à la vidéosurveillance, le rapporteur ayant indiqué que le cadre juridique en vigueur issu de la loi n° 95-73 du 21 janvier 1995 était satisfaisant.

La Commission a adopté deux amendements du rapporteur : le premier prévoyant que les traitements de données à caractère personnel mis en œuvre pour le compte de l'État et portant sur des données biométriques nécessaires à l'authentification et au contrôle de l'identité des personnes sont autorisés par décret en Conseil d'État pris après avis motivé et publié de la cnil ; le second tendant à faciliter le développement de l'administration électronique en soumettant à la procédure d'autorisation prise par voie d'arrêté, après avis motivé et publié de la cnil, les traitements tendant à mettre à la disposition des usagers de l'administration un ou plusieurs téléservices et ayant recours au nir (amendements nos 18 et 19).

d) Des dispositions communes précisées

L'article 30 nouveau de la loi du 6 janvier 1978 regroupe les dispositions précisant les informations devant figurer dans les déclarations, demandes d'autorisation et d'avis adressées à la cnil. Il s'agit, notamment, de l'identité et de l'adresse du responsable du traitement, de la finalité de ce dernier, des éventuelles interconnexions avec d'autres traitements, des données traitées, de leur durée de conservation ainsi que, selon le texte adopté par notre assemblée, de « l'identité et l'adresse » de la personne ou du service auprès duquel s'exerce le droit d'accès prévu à l'article 39 nouveau. Suivant le rapporteur de sa commission des Lois qui a considéré que cette rédaction soulevait des difficultés pratiques « dans la mesure où les adresses et les identités peuvent changer »(17), le Sénat a préféré se référer à la « fonction » desdites personnes ou dudit service (8° de l'article 30).

En outre, les responsables de traitements devront indiquer à la commission l'éventuel recours à un sous traitant, ce qui améliorera substantiellement l'information de la cnil (9° de l'article 30). Afin d'améliorer l'information dont dispose la cnil, la Commission a adopté un amendement du rapporteur prévoyant que le responsable du traitement doit porter à sa connaissance les rapprochements ou autres formes de mises en relation de données auxquels il entend procéder (amendement n° 20). Puis, la Commission a adopté deux amendements de précision du même auteur (amendements nos 21 et 22).

Enfin, s'agissant de la mise à disposition du public par la cnil de certaines informations (énumérées à l'article 31 nouveau de la loi) parmi lesquelles figurent, notamment, l'identité et l'adresse du responsable du traitement, la dénomination et la finalité du traitement, les catégories de données traitées, le Sénat a souhaité compléter cette liste en prévoyant que la commission publie la liste des États dont la commission européenne a établi qu'ils assurent « un niveau de protection suffisant à l'égard d'un transfert ou d'un catégorie de transfert de données à caractère personnel ». Compte tenu du développement des transferts de données en dehors de l'Union européenne, il s'agit d'une amélioration substantielle de l'information des personnes concernées.

La Commission a adopté l'article 4 ainsi modifié.

Article 5

(Chapitre V de la loi n° 78-17 du 6 janvier 1978)


Obligations incombant aux responsables de traitements
et droits des personnes

Le présent article du projet de loi insère un chapitre V nouveau au sein de la loi du 6 janvier 1978 qui se divise en deux sections : la première, regroupant les articles à 32 à 37 nouveaux de la loi sont relatifs aux obligations incombant aux responsables des traitements ; la seconde, comprenant les articles 38 à 42 nouveaux, énumère les droits des personnes concernées.

a) Une clarification du régime juridique des « cookies » et des obligations incombant aux responsables des traitements

L'article 32 nouveau de la loi du 6 janvier 1978 énumère les obligations opposables aux responsables de traitements. Ainsi, ces derniers doivent, notamment, informer la personne concernée : de leur identité ; de la finalité poursuivie par le traitement ; du caractère obligatoire ou facultatif des réponses ; des destinataires des données ; des ses droits tels que définis aux articles 38 à 42 nouveaux ; des éventuels transferts de données à destination d'un État non membre de la communauté européenne(18), ce dernier point ayant été ajouté par le Sénat (7° nouveau du I de l'article 32). Notons que le projet de loi ne reprend pas les dispositions de l'avant-dernier alinéa de l'article 27 de la loi du 6 janvier 1978 en vigueur qui prévoit que, lorsque les données à caractère personnel sont collectées par voie de questionnaire, ceux-ci doivent mentionner les informations énumérées à l'article 32 nouveau de la loi.

Par ailleurs, le Sénat a substantiellement modifié le régime, introduit par l'Assemblée nationale en première lecture, concernant les témoins de connexion, communément appelés « cookies » (I bis de l'article 32). En effet, le dispositif adopté par notre assemblée prévoyait que le recours aux « cookies » était autorisé si l'abonné ou l'utilisateur avait reçu, « au préalable, une information claire et complète sur les finalités du traitement et sur les moyens dont il [disposait] pour s'y opposer. » En outre, la subordination de l'accès à un service disponible sur Internet à l'acceptation, par l'abonné ou l'utilisateur, des « cookies » était proscrit, le non respect de cette interdiction étant puni d'une peine de cinq ans d'emprisonnement et de 300 000 euros.

Rappelons qu'au moment de l'examen en première lecture du présent projet par notre assemblée le 30 janvier 2002, la directive 2002/58 CE, dite « vie privée et communication électronique », n'était pas encore adoptée et deux options s'opposaient alors en matière de témoins de connexions : d'une part, le tenants du consentement exprès de l'utilisateur à l'installation de cookies dans son terminal et, d'autre part, les partisans du droit d'opposition pour lesquels la faculté de s'opposer constitue une protection suffisante. Anticipant sur le compromis élaboré au sein des institutions communautaires, le texte adopté par notre assemblée privilégiait le droit d'opposition qui figure désormais au paragraphe 3 de l'article 5 de la directive précitée qui autorise le recours aux témoins de connexion à condition que l'utilisateur soit muni « d'une information claire et complète, entre autres sur les finalités du traitement » et qu'il ait « le droit de refuser un tel traitement ». En revanche, l'interdiction de la subordination de l'accès à un service à l'acceptation par l'utilisateur du recours à des cookies n'est pas prévue par la directive dont le considérant 25 autorise, tout au contraire, le recours à des clauses de cette nature lorsqu'il s'agit d'un site « spécialisé » et si le témoin de connexion « est utilisé à des fins légitimes ». De même, aucun dispositif pénal n'est envisagé par le texte communautaire.

Compte tenu de ce qui précède, le Sénat a modifié les dispositions adoptées par notre assemblée en supprimant :

- l'interdiction de subordonner l'accès à un service à l'acceptation par l'internaute du recours aux témoins de connexions ;

- le caractère préalable de l'information devant être fournie à l'internaute, ce qui ne découle pourtant pas des réquisits de la directive ;

- la sanction pénale réprimant l'irrespect des précédentes dispositions.

Par ailleurs, en cas de collecte indirecte des données (II de l'article 32 nouveau) le Sénat a prévu que le responsable du traitement n'était pas tenu de fournir les informations énumérées au I de l'article 32 précédemment décrites, non seulement lorsque cette information se « révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche » comme le prévoyait déjà le texte adopté par notre assemblée, mais également lorsque la personne concernée « est déjà informée ».

Afin de conforter les droits des personnes concernées par les traitements de données à caractère personnel, la Commission a adopté un amendement du rapporteur prévoyant que, lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent indiquer l'identité du responsable du traitement, la finalité de ce dernier, le caractère facultatif ou obligatoire des réponses ainsi que les droits dont bénéficient lesdites personnes (amendement n° 23). Puis, la Commission a adopté un amendement du même auteur permettant la réutilisation des données à caractère personnel aux fins d'établissement de statistiques ou de recherches scientifiques (amendement n° 24). Par cohérence avec ses précédents votes, elle a ensuite rejeté un amendement de coordination présenté par M. Michel Vaxès.

Par coordination avec l'introduction des dispositions relatives à l'anonymisation des données, le Sénat a précisé que, lorsque les données collectées doivent faire l'objet « à bref délai » d'un procédé de cette nature, le responsable du traitement peut se limiter à informer la personne concernée de son identité et de la finalité du traitement envisagé (II bis nouveau de l'article 32). Toutefois, dans la mesure où ces données sont rapidement anonymisées, la portée de cette information est particulièrement ténue.

S'agissant des obligations de sécurité incombant au responsable de traitement, l'article 34 nouveau de la loi du 6 janvier 1978 adopté par notre assemblée disposait que celui-ci est tenu de prendre toutes les précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles ne soient « déformées, endommagées ou communiquées à des tiers non autorisés. » Désireux d'élargir la protection offerte aux personnes concernées, le Sénat a modifié cette disposition en prévoyant que le responsable doit veiller à ce que des tiers non autorisés « n'aient pas accès » aux données. Ce faisant, il s'agit d'obliger le responsable du traitement à agir en faveur de la mise en place de protections effectives sans que son éventuelle responsabilité puisse être dégagée en cas de négligence et de « communication » involontaire des données.

En ce qui concerne la durée de conservation des données à caractère personnel, l'article 36 nouveau prévoit qu'elles ne peuvent être conservées au delà de la durée nécessaire aux finalités pour lesquelles elles sont traitées, sauf lorsqu'elles sont collectées à des fins historiques, statistiques ou scientifiques. Afin de simplifier le régime des traitements dont la finalité se cantonne à la conservation à long terme des documents d'archives dans le cadre de la loi du 3 janvier 1979 sur les archives, le Sénat a complété cet article en les dispensant des formalités préalables prévues au chapitre IV de la loi du 6 janvier 1978 dont les dispositions ont été présentées dans le cadre de l'article précédent du présent projet. En effet, le rapporteur de la commission des Lois du Sénat a estimé que « ces traitements n'entraînant aucune diffusion à l'extérieur du service des archives [il n'y a] donc aucun risque pour les personnes physiques. »(19).

Enfin, la seconde assemblée a étendu les possibilités de procéder à des traitements ayant d'autres finalités que celles pour lesquelles les données ont été collectées au profit des traitements de recherche dans le domaine de la santé mentionnées au 6° du II de l'article 8 de la loi du 6 janvier (dernier alinéa de l'article 36). Pour sa part, l'Assemblée nationale avait limité cette possibilité aux traitements : soit justifiés par un intérêt public et soumis à l'autorisation de la cnil ; soit ayant reçu le consentement exprès de la personne ; soit avec l'autorisation de la cnil.

b) Un droit des personnes complété par l'information concernant les transferts de données à destination d'un État non membre de la communauté européenne

La section 2 du chapitre V de la loi du 6 janvier 1978 regroupe les articles 38 à 42 nouveaux qui définissent les droits des personnes dont les données sont collectées. Il s'agit, rappelons, du droit : de s'opposer à ce que les données soient collectées (article 38) ; d'accéder à ces données (article 39) ; d'obtenir leur rectification lorsque celles-ci se révèlent être inexactes ou incomplètes (article 40). Toutefois, en matière de traitements de souveraineté, les modalités du droit d'accès sont spécifiques et dites « indirectes », puisque c'est à un des membres de la cnil, appartenant ou ayant appartenu au Conseil d'État, à la Cour de cassation ou à la Cour des comptes, de mener, à la demande du requérant, toutes les investigations utiles et de faire procéder aux modifications nécessaires.

Au-delà de quelques modifications d'ordre rédactionnel, et notamment de nombreux, bien que partiels, ajouts quant au « caractère personnel » des données dont il est question dans la loi, le Sénat a apporté les modifications suivantes au dispositif adopté par notre assemblée en première lecture :

· A l'article 39 nouveau, relatif au droit d'accès. Le Sénat a complété les informations devant être communiquées à la personne concernée en prévoyant qu'elle peut obtenir du responsable du traitement « des informations relatives aux transferts de données envisagés à destination d'un État non membre de la Communauté européenne », ce qui compte tenu du développement des ces pratiques conforte la portée juridique du droit d'accès (2° bis nouveau du I de l'article 39).

En matière de dérogation au droit d'accès, le texte adopté par notre assemblée prévoyait que les dispositions de l'article 39 ne s'appliquent pas lorsque les données à caractère personnel sont conservées pendant une durée n'excédant pas celle qui est nécessaire à l'établissement de statistiques dans les conditions prévues par la loi du 7 juin 1951 sur l'obligation, la coordination et le secret en matière statistiques. Le Sénat a souhaité élargir le champ des dérogations au droit d'accès en prévoyant que les dispositions de l'article 39 ne sont également pas applicables aux données conservées « sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique. »

Cette nouvelle dérogation est prévue par la directive 95/46 CE puisque le paragraphe 2) de son article 13 prévoit que « sous réserves de garanties légales appropriées », les États membres peuvent, dans le cas où il « n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative » le droit d'accès « lorsque ces données sont traitées exclusivement aux fins de recherche scientifique » ou sont stockées pendant une durée « n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques ». On le voit, le Sénat s'est fidèlement inspiré des termes mêmes de la directive, qui ne sont pas exempts de toute ambiguïté, eu égard notamment au caractère « manifeste » de l'absence de risque d'atteinte à la vie privée, toujours délicat à établir de façon certaine. Dans ces hypothèses, les dérogations au droit d'accès devront cependant être mentionnées dans la demande d'autorisation ou dans la déclaration adressée par le responsable du traitement à la cnil.

La Commission a adopté deux amendements du rapporteur, le premier précisant les modalités d'exercice du droit d'accès en indiquant que la personne ne peut se prévaloir de ce droit que lorsque une décision est prise sur le fondement du traitement de données, et non lorsque les résultats de celui-ci lui sont opposés comme le prévoit le texte adopté par le Sénat, le second d'ordre rédactionnel (amendements nos 25 et 26).

· A l'article 41 nouveau, relatif au droit d'accès indirect. Il convient de rappeler ici que le droit d'accès indirect concernant les traitements de souveraineté, prévu par l'article 39 de la loi du 6 janvier 1978 en vigueur, a fait l'objet d'une nouvelle rédaction introduite par l'article 22 de la loi du 18 mars 2003 pour la sécurité intérieure. Il était donc nécessaire de reprendre la rédaction des dispositions concernant le droit d'accès indirect issue de la loi sur la sécurité intérieure pour l'introduire dans le présent projet, ce qu'a fait le Sénat.

La Commission a rejeté un amendement de M. Michel Vaxès prévoyant que le consentement de la personne doit être expressément recueilli lorsque les données recueillies le sont à des fins de prospection commerciale, le rapporteur ayant considéré que l'exercice du droit d'opposition constituait une garantie suffisante.

La Commission a adopté l'article 5 ainsi modifié.

Article 6

(Chapitre VI de la loi n° 78-17 du 6 janvier 1978)


Le contrôle de la mise en
œuvre des traitements

L'adoption des dispositions de l'article 22 nouveau de la loi du 3 janvier 1978 faisant de la déclaration des traitements le régime de droit commun en matière de formalités préalables doit avoir, pour contrepartie, le renforcement des pouvoirs de contrôle et de sanction a posteriori de la cnil. Tel est l'objet du présent article qui insère le chapitre VI au sein de la loi précité, relatif au contrôle de la mise en œuvre des traitements.

Ce chapitre comprend l'article 44 nouveau unique qui précise les pouvoirs de contrôle sur place et sur pièces des membre et agents de la cnil. Au-delà d'une modification d'ordre rédactionnel, le Sénat a précisé les règles de compétence territoriale en cas d'opposition du responsable des lieux à la visite des membres et agents de la commission. Dans cette hypothèse, les membres et agents de la cnil ne peuvent passer outre l'opposition du responsable des lieux qu'avec l'autorisation du président du tribunal de grande instance « dans le ressort duquel sont situés les locaux à visiter » a utilement complété le Sénat.

La Commission a adopté l'article 6 sans modification.

Article 7

(Chapitre VII de la loi n° 78-17 du 6 janvier 1978)


Sanctions prononcées par la Commission nationale
de l'informatique et des libertés

La crédibilité du contrôle a posteriori sur pièces et sur place de la cnil suppose qu'elle soit dotée d'un pouvoir de sanction proportionné et efficace. Tel est l'objet des articles 45 à 49 nouveaux de la loi du 6 janvier 1978 qui composent le chapitre VII de la loi.

a) Une limitation des pouvoirs de sanction de la cnil

L'article 45 nouveau énumère les différentes sanctions susceptibles d'être prononcées par la cnil dans l'ordre croissant de leur gravité. Ainsi, la commission peut, tout d'abord, prononcer un avertissement au responsable ne respectant pas les obligations découlant de la loi du 6 janvier 1978, puis le mettre en demeure de faire cesser ce manquement (premier alinéa de l'article 45). Si le responsable du traitement persiste à ne pas se conformer avec la loi, le texte adopté par notre assemblée prévoyait que la cnil peut alors prononcer à son encontre, après une procédure contradictoire : une sanction pécuniaire (1°) ; une injonction de cesser le traitement ou procéder à sa destruction (2°) ; un retrait de l'autorisation accordée (2°).

Le Sénat a substantiellement modifié ces dispositions dans un sens tendant à limiter les pouvoirs conférés à la cnil.

- En matière de sanction pécuniaire, la seconde assemblée n'a autorisé la cnil à y recourir que « lorsque des profits ou avantages économiques sont tirés de la mise en œuvre du traitement ». Cette restriction, introduite à l'initiative du sénateur Jean-Jacques Hyest, et en dépit de l'avis défavorable de la commission des Lois, a pour objet, selon son auteur, « d'instaurer une proportionnalité de la sanction avec les profits ou avantages [afin de ne] pas risquer de tomber dans l'arbitraire. »(20).

Tout en comprenant l'objectif poursuivi par l'auteur de ce nouveau dispositif, il convient néanmoins de souligner que les sanctions pécuniaires peuvent trouver à s'appliquer des personnes morales de droit privé à but non lucratif, à l'instar des associations, pour lesquelles le critère de profit n'est pas applicable et celui « d'avantage économique » source d'éventuelles difficultés d'interprétation. De surcroît, l'article 47 de la loi du 6 janvier 1978 prévoit que le montant de la sanction pécuniaire doit être proportionné « à la gravité des manquements et aux avantages tirés de ce manquement » sans que les références au « profit » ou aux avantages purement « économiques » ne soient mentionnées.

La Commission a été saisie d'un amendement de M. Patrick Bloche tendant à rétablir le texte adopté par l'Assemblée nationale en première lecture afin de maintenir les pouvoirs de sanction de la cnil. Après avoir indiqué qu'il partageait l'objectif poursuivi par cet amendement, le rapporteur a précisé qu'il préférait la rédaction de son propre amendement qui excluait l'État du champ d'application des sanctions pécuniaires puisque la cnil ne disposant pas de la personnalité morale, l'autoriser à sanctionner l'État reviendrait à considérer que celui-ci peut se verser de l'argent à lui-même. M. Patrick Bloche ayant retiré son amendement au profit de celui déposé par le rapporteur, la commission l'a ensuite adopté (amendement n° 27).

Puis, après avoir adopté un amendement rédactionnel du rapporteur, la Commission a adopté un amendement du même auteur tendant à moduler les pouvoirs de verrouillage dévolus à la cnil en fonction de la nature des traitements, notamment lorsque ceux-ci sont mis en œuvre par l'État dans le cadre d'une mission de service public (amendements nos29 et 28).

- La seconde assemblée a également supprimé, à l'initiative du rapporteur de sa commission des Lois, la possibilité offerte à la cnil de détruire le traitement de données. Dans son rapport, M. Alex Türk explique que cette disposition, qui existe dans le droit en vigueur mais qui n'a jamais été mise en œuvre par la cnil, « pourrait avoir des conséquences importantes pour une entreprise, d'autant plus que le nouvel article 226-22-2 du code pénal introduit par l'article 14 du projet de loi prévoit que le juge peut ordonner l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction et que les agents de la cnil sont alors habilités à constater cet effacement. Réserver cette possibilité au juge paraît donc préférable »(21).

Toutefois, il convient d'observer que le temps judiciaire n'est pas celui des traitements de données et que la possibilité offerte à la cnil de supprimer des traitements, menace dissuasive s'il en est, est susceptible d'être mise en œuvre bien plus rapidement que s'il s'agit d'une décision judiciaire. De surcroît, au vu des faibles suites judiciaires données aux initiatives de la cnil, on ne peut que regretter la relative indifférence dont font preuve les juridictions pour sanctionner les manquements à la loi du 6 janvier 1978, ce qui fragilise quelque peu les arguments en faveur des pouvoirs du juge.

L'article 47 nouveau de la loi précise le montant des sanctions pécuniaires susceptibles d'être infligées par la cnil. Le texte adopté par notre assemblée en première lecture prévoit que, lorsque les manquements du responsables du traitement se réitèrent dans les cinq ans à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, le montant de la sanction ne peut excéder « 300 000 euros ou 5 % du chiffre d'affaires ». Estimant que ce dispositif était ambigu, puisqu'une incertitude demeurait sur la question de savoir si le plafond des 5 % du chiffre d'affaires englobait, ou non, le seuil des 300 000 euros, le Sénat a précisé que le montant de la sanction pécuniaire en cas de manquement réitéré ne peut excéder 300 000 euros ou, « s'agissant d'une entreprise, 5 % du chiffre d'affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros », ce qui introduit donc un système de « double plafond ».

b) Une publicité des sanctions conditionnée à « la mauvaise foi » du responsable du traitement

Le paragraphe II de l'article 45 nouveau envisage les différentes mesures susceptibles d'être adoptées en cas d'urgence ou lorsque la mise en œuvre du traitement entraîne une violation des droits et libertés mentionnés à l'article premier de la loi.

Lorsqu'il s'agit d'un traitement de souveraineté portant, le cas échant, sur des données sensibles et prévus aux I et II de l'article 26 nouveau de la loi, le texte adopté par notre assemblée en première lecture prévoyait que la cnil peut « saisir » le Premier ministre pour qu'il prenne les mesures permettant de faire cesser, le cas échant, la violation constatée et obligeait le Premier ministre à rendre « publiques » les suites qu'il a données à cette saisine.

Jugeant cette exigence de publicité « inédite et mal adaptée » (22)à des fichiers ayant trait à la défense nationale ou à la sûreté publique, et après avoir considéré que « la cnil demeure libre d'informer le public par le biais de son rapport annuel », le Sénat, à l'initiative de son rapporteur de la commission des Lois, l'a supprimée. En outre, estimant, à l'instar de son rapporteur, « plus raisonnable de prévoir que la cnil puisse informer le Premier ministre, plutôt que de procéder à une saisine formelle, qui paraît quelque peu incongrue dans cette hypothèse » (jo débats page 2365), le Sénat a remplacé la procédure de saisine du Premier ministre par la cnil par celle prévoyant son information.

Par ailleurs, l'article 46 nouveau issu des travaux de notre assemblée prévoyait, notamment, que la cnil peut décider de rendre publiques les sanctions qu'elle prononce. Toutefois, le Sénat a conditionné l'exercice de cette faculté à l'existence «  de mauvaise foi » de la part du responsable du traitement.

M. Jean-Jacques Hyest, auteur de l'amendement auquel la commission des Lois était d'ailleurs défavorable, a indiqué en séance que son objet était de « mieux graduer les sanctions infligées par la cnil. La publication de sanctions peut en effet avoir des conséquences importantes. [...] Dans le contexte de société d'information et de développement du commerce électronique que nous connaissons, le fait de rendre publiques une sanction alors que la mauvaise foi n'est pas avérée peut avoir des incidences très négatives sur la vie de la société. » (23).

Afin de proportionner le degré de publicité des sanctions prononcées par la cnil en fonction de la gravité des manquements qu'elle a pu constater, la Commission a adopté un amendement du rapporteur prévoyant que la cnil peut rendre publics les avertissements qu'elle prononce tout en conditionnant la publicité des autres sanctions à la « mauvaise foi » de la part du responsable du traitement (amendement n° 30).

La Commission a adopté l'article 7 ainsi modifié.

Article 8

(Chapitre VIII de la loi n° 78-17 du 6 janvier 1978)


Dispositions pénales

Cet article du projet de loi regroupe les dispositions pénales qui figurent aux articles 50 et 51 nouveaux du chapitre VII de la loi du 6 janvier 1978. L'article 50 nouveau rappelle que les infractions aux dispositions de la loi précitée sont prévue et réprimées par les articles 226-16 à 226-24 du code pénal qui sont d'ailleurs modifiés par l'article 14 du présent projet de loi.

Pour sa part, l'article 51 nouveau puni d'un an d'emprisonnement et de 15 000 euros d'amende le fait d'entraver l'action de la cnil :

- soit en s'opposant à l'exercice des missions confiées à ses membres ou aux agents habilités en application du 3e alinéa de l'article 19 et « définies aux articles 45 et 49 » précisait le texte adopté par notre assemblée en première lecture. Afin d'étendre le champ d'application du délit d'entrave « à l'ensemble des missions de la cnil », le Sénat, suivant son rapporteur de la commission des Lois, a supprimé la référence aux articles 45 et 49 jugée non « pertinente, s'agissant respectivement des pouvoirs de sanction de la cnil et des modalités de coopération entre autorités de contrôle » (24) ;

- soit en refusant de communiquer à ses membres ou aux agents habilités les renseignements et documents utiles à leur mission ;

- soit en communiquant des informations qui ne sont pas conforme au contenu des enregistrements tel qu'il était au moment où la demande a été formulée où qui ne présentent pas ce contenu sous une forme directement accessible.

Après avoir adopté un amendement du rapporteur corrigeant une erreur de décompte des alinéas (amendement n° 31), la Commission a adopté l'article 8 ainsi modifié.

Article 11

(Chapitre XI de la loi n° 78-17 du 6 janvier 1978)


Traitements de données à caractère personnel
aux fins de journalisme et d'expression littéraire et artistique

Afin de respecter le principe constitutionnel de liberté de la presse et d'expression, les traitements de données à caractère personnel mis en œuvre aux fins de journalisme et d'expression littéraire et artistique doivent bénéficier d'un régime juridique dérogatoire et adapté à leurs spécificités. Tel est l'objet du chapitre XI de la loi du 6 janvier 1978 composé de l'unique article 67 nouveau inséré par le présent article du projet de loi.

Ainsi, le premier alinéa de l'article 67 nouveau prévoit que ne sont pas applicables aux traitements mis en œuvre aux fins de journalisme et d'expression littéraire et artistique, notamment, les dispositions suivantes de la loi du 6 janvier 1978 :

- la limitation de la durée de conservation des données prévue au 5° de l'article 6 nouveau ;

- l'interdiction de collecter et de traiter les données sensibles énumérées à l'article 8 nouveau ;

- l'interdiction de procéder à des traitements sur des données relatives aux infractions, condamnations et mesures de sûreté prévue à l'article 9 nouveau ;

- l'obligation de déclaration du traitement auprès de la cnil (article 22 nouveau) ;

- l'obligation, pour le responsable du traitement, d'informer la personne auprès de laquelle les données sont collectées de ses droits, de la finalité du traitement et de l'ensemble des informations énumérées à l'article 32 nouveau ;

- le droit d'accès (article 39 nouveau) et de rectification (article 40 nouveau) ;

Par souci de cohérence et de simplification, le Sénat a complété cette liste tendant à exclure l'application de la loi par la référence aux :

- 1° et 3° du I de l'article 25 nouveau qui soumettent a la procédure de l'autorisation préalable de la cnil, respectivement, les traitements « justifiés par l'intérêt public » et portant sur les données sensibles, ainsi que ceux portant sur les infractions, condamnations ou mesures de sûreté.

Après avoir adopté un amendement de coordination du rapporteur (amendement n° 32), la Commission a adopté l'article 11 ainsi modifié.

Article 12

(Chapitre XII de la loi n° 78-17 du 6 janvier 1978)


Transfert de données à caractère personnel vers des États
n'appartenant pas à la Communauté européenne

Les articles 68 à 70 nouveaux de la loi insérés par le présent article concernent les transferts de données à caractère personnel en direction des États n'appartenant pas à la communauté européenne. Ainsi, les articles 68 et 70 nouveaux, adoptés sans modification par le Sénat, sont relatifs, respectivement, à l'autorisation de procéder à un transfert de données en direction d'un État assurant un « niveau de protection suffisant de la vie privée et des libertés et des droits fondamentaux des personnes » et aux modalités d'appréciation de ce niveau par la Commission européenne.

Pour sa part, l'article 69 nouveau prévoit un certain nombre de dérogation à la règle conditionnant la mise en œuvre d'un transfert de données à l'existence d'un niveau de protection « suffisant ». Il en est ainsi, notamment, lorsque le transfert est nécessaire à la sauvegarde la vie de la personne, à celle de l'intérêt public ou si la personne y a consenti « expressément ». Toutefois, la portée de cette règle doit être précisée. En effet, elle ne saurait avoir pour conséquence de permettre le contournement des règles applicables au sein de l'union européenne grâce au transfert des données dans des État n'étant pas soumis aux dispositions de la directive 95/46 CE. Afin de respecter l'esprit de la directive, qui tend précisément à éviter de tels agissements, il convient donc de considérer que le champ d'application des dérogations de l'article 69, et de la règle du consentement en particulier, ne s'applique qu'aux seuls cas de transferts ponctuels ou occasionnels, qui ne sont donc ni massifs ni systématiques. A défaut, et comme la cnil l'exige d'ores et déjà, le responsable de traitement doit avoir recours à un contrat de protection des données personnelles comme le prévoit d'ailleurs l'avant dernier alinéa de l'article 69.

En effet, cet alinéa prévoit qu'il peut être dérogé aux dispositions de l'article 68, « par décision de la cnil » ou, s'il s'agit d'un traitement de souveraineté prévu au I et II de l'article 26 de la loi, par décret en Conseil d'État pris après avis motivé et publié de la commission, lorsque le « traitement », et non l'État où il a lieu, garantit un niveau de protection suffisant, notamment en raison de ses « clauses contractuelles » ou de ses « règles internes » a complété le Sénat.

Cet ajout a pour objet d'élargir les possibilités de transfert en direction de sociétés s'étant dotées d'un code de bonne conduite. Compte tenu du fort développement de tels codes au sein des entreprises et de la décision préalable de la cnil, cette disposition constitue une indéniable mesure de souplesse pour les entreprises tout garantissant le respect des droits et libertés fondamentales des personnes à l'égard des traitements mis en œuvre.

La Commission a adopté l'article 12 sans modification.

TITRE II

DISPOSITIONS MODIFIANT D'AUTRES TEXTES LÉGISLATIFS

Article 14

(art. 226-16 à 226-24 du code pénal)


Sanctions pénales

Outre le délit d'entrave à l'action de la cnil examiné dans les cadre des commentaires de l'article 8 du projet de loi, le présent article a pour objet de modifier le dispositif pénal réprimant les infractions aux dispositions de la loi du 6 janvier 1978.

Sur les 14 articles du code pénal insérés par le présent article, le Sénat n'a apporté qu'une modification de conséquence à l'article 226-16-1 dudit code qui puni d'une peine de cinq ans d'emprisonnement et de 300 000 euros d'amende le fait, hors les cas où le traitement a été autorisé par la loi, de procéder ou de faire procéder à un traitement incluant le numéro d'inscription des personnes physiques au répertoire national d'identification des personnes physiques « ou portant sur la totalité ou la quasi-totalité de la population de la France ».

Ainsi que votre rapporteur l'a déjà indiqué, le rapporteur du Sénat estimant cette notion imprécise, et arguant du fait que la dangerosité d'un traitement doit être appréciée en fonction de la qualité des données traitées et non de leur quantité, la seconde assemblée l'a supprimée.

La Commission a adopté l'article 14 sans modification.

Article 15 ter

(art. 515-3 du code civil)


Mention en marge de l'acte de naissance
de la déclaration du pacte civil de solidarité

Introduit à l'initiative de MM. Jean-Pierre Michel et Patrick Bloche et présenté au nom de la commission des lois de l'Assemblée nationale, en dépit de l'avis personnel défavorable du rapporteur M. Gérard Gouzes, cet article tend à prévoir l'inscription de la déclaration du pacte civil de solidarité en marge de l'acte de naissance des personnes signataires.

Selon les auteurs de l'amendement, cette mention avait pour but d'alléger le travail des greffes des tribunaux qui sont particulièrement sollicités par les notaires afin d'obtenir des certificats de « non pacs » en raison de l'absence de publicité des registres consignant ces contrats.

A l'initiative de M. Patrice Gélard, le Sénat a supprimé cet article au motif :

- qu'il ne possédait aucun lien avec la présente loi et constituait donc un « cavalier » législatif ;

- que le pacs ne constituant pas un évènement touchant à l'état des personnes, à l'instar de la naissance, du mariage ou du décès, il n'avait aucune raison de figurer sur les registres d'état civil ;

- que le dispositif d'enregistrement du pacs au greffe fonctionne de manière satisfaisante et que le mécanisme de communication aux tiers habilités, dont les notaires, mis en place par le décret n° 99-1090 du 21 décembre 1999, préserve l'équilibre entre le respect de la vie privée des personnes liées par un pacs et la protection des intérêts desdits tiers habilités.

La Commission a été saisie de l'amendement n° 1 de M. Patrick Bloche tendant à rétablir le texte adopté par l'Assemblée nationale en première lecture. Après que le rapporteur eut indiqué que ces dispositions ne possédaient aucun lien avec l'objet de la loi, la Commission a néanmoins adopté cet amendement.

Article 16

Dispositions transitoires - Entrée en vigueur

Par coordination avec l'adoption de l'amendement du rapporteur portant article additionnel après l'article 16, la Commission a adopté un amendement du même auteur tendant à repousser au 24 octobre 2010 la mise en conformité avec les dispositions de la présente loi des traitements mis en œuvre par l'État ou les personnes morales gérant un service public et relatifs, notamment, aux infractions ou portant sur des données sensibles (amendement n° 33).

Article additionnel après l'article 16

Report de la mise en conformité des traitements non automatisés
de souveraineté

La Commission a adopté un amendement du rapporteur tendant à prendre en compte le retard pris par l'adoption du présent projet de loi en reportant au 24 octobre 2010 la date à laquelle les responsables de traitements non automatisés de données à caractère personnel intéressant la sûreté de l'État, la défense et la sécurité publiques doivent mettre leur traitement en conformité avec les articles 6 à 9 de la loi du 6 janvier 1978 dans leur rédaction issue de la présente loi (amendement n° 34).

TITRE III

DISPOSITIONS TRANSITOIRES

Article 17

Mandat des membres en fonction de la CNIL

Le paragraphe I de cet article, inchangé par le Sénat, prévoit que les membres de la cnil en exercice au moment de la publication de la présente loi « demeurent en fonction jusqu'au terme normal de leur mandat ».

Désireux de préciser les modalités d'entrée en vigueur des dispositions du II de l'article 13 nouveau de la loi du 6 janvier 1978, qui limite à 10 ans la durée du mandat de membre de la cnil, le Sénat, à l'initiative du rapporteur de sa commission des Lois, a inséré un paragraphe IV nouveau prévoyant que les nomination et renouvellement de membres de la cnil intervenus « avant la publication de la présente loi ne sont pas prise en compte » pour le calcul de la durée du mandat.

La commission a adopté l'article 17 sans modification.

La Commission a ensuite adopté l'ensemble du projet de loi ainsi modifié.

*

* *

En conséquence, la commission des Lois constitutionnelles, de la législation et de l'administration générale de la République vous demande d'adopter le projet de loi, modifié par le Sénat (n° 762), relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par les amendements figurant au tableau comparatif ci-après.

1 () Rapport n° 1456 du 25 février 2004 de M. Guy Geoffroy sur le projet de loi portant habilitation du Gouvernement à transposer par ordonnances des directives communautaires, page 12.

2 () Rapport au Premier ministre de M. Guy Braibant intitulé « Données personnelles et société de l'information », publié par la Documentation française, 2ème trimestre 1998.

3 () Rapport n° 3526 du 9 janvier 2002 de M. Gérard Gouzes.

4 () Rapport n° 218, 2002-2003 du 19 mars 2003 de M. Alex Türk, fait au nom de la commission des Lois du Sénat, page 50.

5 () Rapport n° 3526 du 22 janvier 2002 de M. Gérard Gouzes, page 35.

6 () Rapport précité de M. Alex Türk, pages 59 et 60.

7 () Rapport précité de M. Alex Türk, page 62.

8 () JO. Débats Sénat, séance du 1er avril 2003, page 2325

9 () Rapport précité de M. Axel Türk, page 71

10 () Rapport de M. Alex Türk précité, page 82

11 () J.O Débats Sénat, séance du 1er avril 2004, page 2335.

12 () J.O. Débats, même séance et même page.

13 () J.O Débats Sénat séance du 1er avril 2003 page 2345

14 () Cette disposition ne semble toutefois pas nécessaire compte tenu des dispositions de l'article 71 nouveau de la loi qui prévoit, de façon générale, l'intervention de décrets d'application pour la mise en œuvre de la loi du 6 janvier 1978

15 () Article 67 nouveau de la loi du 6 janvier 1978 introduit par l'article 11 du présent projet de loi

16 () Rapport précité page 104.

17 () J.O débats Sénat, séance du 1er avril 2003, page 2351

18 () Notons à ce propos que, pour l'ensemble du projet de loi en général et pour cette disposition en particulier, la référence à l'Espace économique européen serait plus appropriée que celle de Communauté européenne compte tenu de la transposition de la directive 95/46 par les trois états composant l'Association européenne de libre échange (AELE), à savoir l'Islande, le Liechtenstein et la Norvège.

19 () Rapport précité page 124

20 () J.O débats Sénat, séance du 1er avril 2003, page 2364

21 () Rapport de M. Alex Türk précité page 140

22 () Rapport précité de M. Alex Türk, page 141

23 () J.O débats Sénat, séance du 1er avril 2003, page 2365

24 () Rapport précité page 147


© Assemblée nationale