Session ordinaire de 2003-2004 - 82ème jour de séance, 205ème séance PRÉSIDENCE de Mme Hélène MIGNON vice-présidente Sommaire DÉMISSION D'UN DÉPUTÉ 2 DÉCLARATION D'URGENCE 2 TRAITEMENT DES DONNÉES PERSONNELLES - deuxième lecture - 2 ARTICLE PREMIER 9 ART. 2 10 ART. 3 13 ART. 4 14 ART. 5 16 ART. 6 17 ART. 7 17 ART. 8 18 ART. 11 18 ART. 15 TER 18 ART. 15 QUATER 19 APRÈS L'ART. 15 QUATER 19 APRÈS L'ART. 16 19 EXPLICATION DE VOTE 19 ORDRE DU JOUR MARDI 4 MAI 2004 20 La séance est ouverte à vingt et une heures trente. Mme la Présidente - M. le Président a reçu de M. Gilbert Gantier, député de la quinzième circonscription de Paris, une lettre l'informant qu'il se démettait de son mandat de député. Acte est donné de cette démission qui sera notifiée à M. le Premier ministre. Mme la Présidente - M. le Premier ministre m'a informé que le Gouvernement déclare l'urgence du projet de loi relatif à la solidarité pour l'autonomie des personnes âgées et des personnes handicapées. L'ordre du jour appelle la discussion, en deuxième lecture, du projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. M. Dominique Perben, garde des sceaux, ministre de la justice - Avec la loi Informatique et libertés du 6 janvier 1978, la France se dotait d'une législation ambitieuse et exemplaire. Depuis lors, la société, les techniques et le droit communautaire ont évolué. Mais la France est le seul Etat à n'avoir pas encore transposé la directive européenne du 24 octobre 1995 relative à la protection des données, qui constitue une avancée importante. De ce fait, nous risquons d'être l'objet d'une action en manquement et l'insécurité juridique demeure. C'est pourquoi nous proposons ce projet, dont, d'autre part, l'adoption est urgente par cohérence avec d'autres textes comme celui relatif à l'économie numérique. Il répond également aux légitimes impatiences de la CNIL. Celle-ci a su rapidement mesurer les enjeux et les incidences positives de la directive. En premier lieu, ce texte réserve les contrôles préalables au seul traitement des textes présentant des risques effectifs d'atteinte aux droits et libertés, avec suppression de la distinction entre secteur public et secteur privé. Il maintient cependant l'autorisation préfectorale pour la vidéosurveillance sur la voie publique et dans les lieux et établissements ouverts au public. Les procédures seront plus rapides. En effet, la CNIL pourra, sauf pour les fichiers relatifs à la souveraineté et à des missions d'intérêt public, décider directement, au lieu de transmettre un simple avis à l'administration. Les procédures déclaratives auprès de la CNIL sont simplifiées pour les traitements ne présentant pas de risque. En revanche, les pouvoirs d'investigation, d'injonction et de sanction de la CNIL augmentent considérablement et pour la première fois, elle est dotée de pouvoirs effectifs en ce qui concerne le transfert de données vers des Etats extérieurs à l'Union européenne ne présentant pas un niveau de protection suffisant. Elle pourra ainsi signaler une difficulté à la Commission européenne, suspendre ou interdire un transfert de données. Elle sera donc plus efficace, en opérant un contrôle a posteriori plus sélectif. Le Sénat a apporté des améliorations très importantes pour rendre plus lisible un texte auquel, sous la précédente législature, le Gouvernement avait conservé l'architecture de la loi symbolique de 1978. D'abord, il a assoupli les procédures préalables et allégé celles qui concernent la conservation d'archives. Il a facilité le régime de déclaration unique pour les entreprises en cas de traitements liés entre eux par leur finalité et dispensé les organismes de déclaration s'ils ont désigné un correspondant à la protection des données. D'autre part, il a mieux défini les attributions de la CNIL. Il a insisté sur son rôle de veille en ce qui concerne l'évolution des nouvelles technologies, mais a pondéré certains de ses pouvoirs de contrôle a posteriori. Il lui a ôté celui d'ordonner la destruction de supports informatiques, qui est laissé au juge, et a réservé la publicité des sanctions qu'elle prononce aux cas où le responsable du traitement est de mauvaise foi. Enfin, il a mieux proportionné les sanctions pécuniaires aux avantages économiques tirés du traitement. Votre commission se propose d'améliorer ces deux derniers points. Elle a encore amélioré la qualité et la cohérence d'un texte parfois technique, et je salue à ce propos le travail du rapporteur. Je partage les trois préoccupations qui ont été les siennes. D'abord, sur les procédures de contrôle préalable à des types de traitements nouveaux, la commission a proposé deux amendements. Le premier soumet à décret en Conseil d'Etat, après avis - et non plus décision - de la CNIL, les traitements mis en _uvre par l'Etat portant sur les données biométriques d'identification des individus comme les empreintes digitales ou les photos numérisées, indispensables pour sécuriser les nouveaux titres d'identité électroniques. Le second instaure une procédure allégée pour la mise en _uvre des téléservices, utiles aux administrés, et pour lesquels le Gouvernement a élaboré un plan d'action 2003-2007. Votre commission s'est également attachée à parfaire l'équilibre entre les garanties offertes aux personnes et les intérêts publics, entre le respect de la vie privée et la protection de la propriété intellectuelle. Celle-ci est mise à mal notamment par la reproduction illicite d'_uvres musicales à partir d'Internet. Face à cette contrefaçon, les instruments habituels sont inefficaces. Or, les personnes morales défendant les droits d'auteur ne peuvent rester désarmées. La loi de 1978 est très restrictive, s'agissant du traitement de données personnelles relatives à des infractions pénales. Votre commission propose, par amendement, de le faciliter de façon bien encadrée et sous réserve d'un contrôle de la CNIL. Le rapporteur s'est également interrogé sur les possibilités de concilier les pouvoirs d'investigation de la CNIL et le secret professionnel. Le projet de loi reprend la conception française du secret professionnel, qui est essentiel mais strictement cantonné. Pour autant il ne bloque pas le pouvoir d'investigation de la CNIL, qui pourra accéder à de nombreux documents comme les logiciels utilisés par les banques et les compagnies d'assurance pour établir un profil unique. S'agissant des pouvoirs a posteriori de la CNIL, la commission précise les possibilités d'interruption de traitement et de verrouillage des données. Déjà, les traitements dits « de souveraineté » en sont exclus. La commission propose d'exclure de même la possibilité d'interrompre les traitements de fichiers mis en _uvre par l'Etat, même si, dans ce cas, la CNIL pourra verrouiller l'accès à certaines données. J'approuve cette approche pragmatique. Dans le même esprit, le Gouvernement a déposé un amendement pour restreindre les nouveaux pouvoirs d'investigation et d'accès de la CNIL, en tenant compte de la nature de certaines informations sensibles intéressant la sûreté de l'Etat. Il s'agit simplement, par dérogation, de faciliter l'échange de renseignements entre les services français et leurs homologues étrangers, ce que l'on comprendra aisément dans les circonstances actuelles. La réforme dont vous allez débattre marque un progrès du droit communautaire, en même temps qu'elle permet d'adapter la loi du 6 janvier 1978 aux mutations technologiques tout en respectant ses grands équilibres. Elle maintient l'ensemble des droits fondamentaux qui avaient alors été édictés par le législateur, elle consacre l'institution collégiale extraordinairement neuve qu'avait alors constituée la CNIL et elle apporte les garanties nouvelles rendues nécessaires par le développement de la société de l'information et de l'internet (Applaudissements sur les bancs du groupe UMP). M. Francis Delattre, rapporteur de la commission des lois constitutionnelles, de la législation et de l'administration générale de la République - Nous voici en deuxième lecture d'un texte examiné à cheval sur deux législatures, qui vise à modifier la loi dite « informatique et libertés » pour répondre - tardivement, ont fait observé certains - aux exigences d'une directive européenne, laquelle s'était d'ailleurs beaucoup inspirée de la loi de 1978. La présentation de celle-ci se trouve profondément remaniée mais, conformément au souhait de M. Guy Braibant, nous conservons son article premier, lequel dispose que l'informatique « ne doit porter atteinte ni à l'identité humaine ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Ce projet vise à faire en sorte que cette protection continue d'être assurée, tandis que les « données à caractère personnel » elles-mêmes évoluent. Il est surprenant qu'un grand quotidien du soir ait pu titrer à son propos « Big Brother se rapproche » : on pourrait plutôt dire « Big bazar s'éloigne », tant il est vrai que ce texte va permettre de débarrasser la CNIL de la paperasserie qui l'encombre ! Actuellement, 100 000 dossiers, qui ne représentent que deux années d'activité, dorment dans les caves de la CNIL, avant d'aller rejoindre les 800 000 conservés dans les entrepôts d'une société spécialisée. Désormais, grâce au système de la déclaration simplifiée, un recentrage - indispensable - de l'activité de la CNIL pourra s'opérer, en fonction du critère de dangerosité. La CNIL continuera d'examiner avec attention les grands fichiers ou les interconnexions entre le fisc et les organismes sociaux. Elle sera également mieux armée pour contrôler la prolifération de l'usage de la biométrie. Sur les fichiers de l'Etat concernant la police et la justice, il n'y a pas de recul, sinon optiquement. La CNIL continuera de donner un avis ; le Gouvernement pourra certes passer outre, mais il le pouvait déjà - et ne l'a jamais fait. Pour le reste de l'informatique administrative, le projet apporte une grande simplification avec le système de la simple déclaration. Pour la CNIL, au-delà de la réduction du volume de papier qu'elle brasse, l'enjeu est de s'alléger de l'accessoire pour se concentrer sur l'essentiel : conseil du Gouvernement et du Parlement au sujet de la montée en puissance de l'administration électronique ou de l'usage de la biométrie ; contrôle des fichiers de sécurité, qui contiennent encore trop d'approximations ; information des citoyens sur leurs droits - y compris face au développement de fichiers de « mauvais payeurs » ou de « clients à risques ». Il faudra par ailleurs faire en sorte que chaque grand secteur d'activité soit régi par un cahier des charges et qu'un correspondant de la CNIL soit chargé de faire respecter les règles. Aux diverses modifications intéressantes que le Sénat a apportées au projet, votre commission vous propose d'en ajouter quelques autres. Elle souhaite renforcer la lutte contre la contrefaçon et encourager la création, en autorisant - pour la première fois - des personnes morales à constituer un fichier à caractère pénal. M. Christophe Caresche - Vous avez la main lourde ! M. le Rapporteur - Non ! Mais le piratage sur internet atteint un volume considérable. Nous souhaitons également soumettre à la procédure de contrôle préalable de la CNIL, prévue à l'article 27 nouveau, les traitements mis en _uvre pour le compte de l'Etat et portant sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes physiques, ainsi que les traitements mis en _uvre par l'État en vue de mettre à la disposition des usagers des services par la voie électronique, afin d'améliorer le service public grâce au développement de l'administration électronique. Nous souhaitons conforter les droits des personnes, à l'article 32, en prévoyant que, lorsque les données sont collectées par voie de questionnaire, la personne concernée doit être informée et ses droits identifiés : droit d'accès, de rectification, d'opposition, etc. La commission souhaite d'autre part rétablir le pouvoir de sanction de la CNIL. Nous avons ici un léger différend avec le Sénat. Je crois, Monsieur le ministre, que vous étiez opposé aux sanctions d'ordre financier parce que l'Etat risquait d'être concerné. Nous avons trouvé une solution intermédiaire, qui permettra à la CNIL, dans des situations extrêmes, de sanctionner financièrement dès lors que des avantages acquis auront résulté du fait de frauder la loi, étant précisé que l'Etat sera épargné. Nous souhaitons enfin préserver la publicité des sanctions prononcées par la CNIL. Je crois à l'efficacité de la publication dans la presse d'avis ou de constats de fraude, qui auront plus de portée pédagogique que des dispositifs financiers. Tel est donc l'état de nos réflexions. Il n'y a pas aujourd'hui de grand problème entre nous, si ce n'est, Monsieur le ministre, la nécessité de préciser davantage le problème du secret professionnel. C'est peut-être le seul point sur lequel nous serions en deçà des normes européennes - même si je comprends bien qu'il faille respecter le secret des avocats et le secret médical. Quant à l'amendement du Gouvernement sur les fichiers de la DGSE, nous ne pouvons qu'y être favorables dans le principe, dès lors qu'il s'agit de la sécurité du pays. Je précise toutefois que les contrôles opérés sur place dans ce type d'affaires ne le sont pas par les membres de la CNIL « ordinaire » : ceux qui seraient amenés à examiner le respect de la présente loi par les fichiers de la DGSE seraient tout de même des magistrats de la Cour de cassation. Si vous ne souhaitez pas que ce soit le cas, nous n'y voyons pas d'inconvénient, mais je devais tout de même fournir cette précision (Applaudissements sur les bancs du groupe UMP). M. Patrick Delnatte - Etant, comme notre rapporteur, un des représentants de l'Assemblée nationale au sein de la CNIL, je peux affirmer que ce projet est très attendu pour faire évoluer le travail de la CNIL. Malgré son titre peu évocateur et sa complexité apparente, il couvre un sujet d'une grande importance : celui des fichiers informatiques et de leur croissance exponentielle. Par l'ampleur de ses enjeux et l'envergure qu'il a acquise en première lecture, ce texte dépasse la simple transposition d'une directive européenne. En effet, si son objet premier est de transposer, avec neuf ans de retard, la directive du 24 octobre 1995, s'il est urgent de mettre la France à l'abri du risque d'un recours en manquement de la part de la Commission européenne, il importe plus encore de rompre avec l'insécurité juridique et de garantir à nos concitoyens une protection appropriée face au développement spectaculaire des technologies informatiques. Il s'agit également de concilier les impératifs du développement informatique avec ceux de la protection des libertés et de la vie privée. Dans cette perspective, nous devons adapter le système de protection créé par la loi du 6 janvier 1978, dont le c_ur est la Commission nationale de l'informatique et des libertés. Celle-ci, depuis vingt-cinq ans, a su prouver son efficacité et l'importance de son rôle. Mais elle rencontre depuis quelques années de grandes difficultés pour continuer à assumer sa mission. En effet, le développement de la micro-informatique, puis d'internet ont bouleversé le paysage informatique. La multiplication des outils d'information et de communication, et d'autres procédés comme les nouveaux services de téléphonie, la vidéosurveillance ou les cartes à puce ont modifié le contexte dans lequel doit travailler la CNIL, et rendu obsolète l'organisation de notre système de protection. Les occasions de fichage, l'interconnexion des fichiers, les dérives commerciales constituent aujourd'hui des risques réels dont nous devons protéger les citoyens tout en leur permettant de tirer tous les avantages de ces nouveaux outils. Tel est précisément l'objet de la directive de 1995 et l'essence du présent projet. Il concilie une protection renforcée de la personne physique avec l'impératif de circulation des données personnelles, conformément au droit européen et international. Il rétablit un équilibre entre la protection de la vie privée et la volonté de ne pas entraver l'évolution technologique et la diffusion des données. Il améliore en outre toute une série de droits individuels apparus avec la loi de 1978 et découlant des progrès technologiques. C'est notamment le cas du droit d'accès aux informations nominatives, du droit d'information sur l'existence d'un traitement, du droit d'opposition ou encore de la mise en _uvre du concept de niveau de protection suffisant comme condition du transfert de données en direction des Etats tiers. De même, le projet renforce la protection des droits des personnes physiques, notamment en substituant à la notion d'informations nominatives celle, plus large, de données à caractère personnel, et en incluant les données de santé dans la catégorie des données sensibles. Plus globalement, la protection des personnes sera renforcée grâce à une réorganisation du cadre d'intervention de la CNIL. La distinction sera, en effet, opérée non plus selon la source, publique ou privée, du traitement des données, mais en fonction du risque encouru. La CNIL décidera alors, selon la situation, de soumettre le traitement des données soit à une autorisation, soit à une simple déclaration. En exigeant moins d'interventions en amont des dossiers, le projet assouplit la création de fichiers informatiques, mais renforce en contrepartie l'exercice d'un pouvoir de contrôle et de sanction. Je salue à ce titre l'accroissement des moyens juridiques de la CNIL en matière d'investigation, ainsi que l'instauration d'un pouvoir réel de sanction administrative et pécuniaire, qui lui permettront d'assumer pleinement sa nouvelle mission de contrôle a posteriori. Cette nouvelle architecture a été confortée par le Sénat au moyen de dispositions pertinentes. Je pense notamment aux simplifications destinées à favoriser le développement économique, ou aux assouplissements en faveur de la recherche scientifique ou historique et en matière de statistiques. En outre, le dispositif d'anonymisation évitera de faire courir des risques supplémentaires aux intéressés, leurs données étant, par définition, anonymes. Dotée d'un dispositif à l'efficacité renforcée, la CNIL pourra affronter pleinement les nouveaux défis de ce siècle. Sous l'impulsion de la directive, ce projet érige un véritable système de protection des droits de nos concitoyens. Il concilie au mieux des intérêts contradictoires et allie efficacement la protection des libertés individuelles aux progrès de l'informatique et de la communication. C'est pourquoi le groupe UMP votera ce texte (Applaudissements sur les bancs du groupe UMP). M. Christophe Caresche - Ce texte a connu un cheminement un peu chaotique puisqu'il a été voté pour la première fois sous la précédente assemblée : c'est donc une coproduction entre l'ancien et le nouveau gouvernement, entre l'ancienne et la nouvelle assemblée. Ce texte important tend à récrire la loi « informatique et libertés » de 1978, dont chacun reconnaît qu'elle fut une loi exemplaire. Il était temps d'examiner ce projet : nous avons pris beaucoup de retard dans la transposition de la directive de 1995, ce qui crée le risque d'un recours de la Commission européenne, mais surtout un risque d'insécurité juridique. Nous examinons ce texte à un moment où beaucoup de choses ont changé, avec l'importance prise par internet, par le courrier électronique, outils qui améliorent notre vie mais sont porteurs d'effets pervers et peuvent donner lieu à des pratiques condamnables, qui mettent en cause les libertés individuelles. Il faut donc encadrer au mieux ces nouveaux outils. Comme le remarquait, il y a plus d'un an, le Garde des Sceaux, la philosophie de la directive diffère de celle de notre loi informatique et libertés : plutôt que d'opérer une distinction entre fichiers publics et privés, elle met l'accent sur la circulation des données. Cependant le respect de la directive n'implique pas l'abandon des principes fondamentaux de la loi de 1978, et moins encore la disparition de la CNIL. Le projet fait le choix symbolique de s'inscrire dans le cadre de cette loi de 1978, comme le préconisait le rapport remis en 1998 par Guy Braibant à Lionel Jospin. La volonté des rapporteurs de gauche et de droite est de garantir un haut niveau de protection des personnes, et nous partageons cette ambition. La loi doit veiller aux conséquences des interconnexions de fichiers, éviter les dérives commerciales, protéger les données sensibles qui mettent en jeu la sauvegarde des personnes, leurs croyances, leur santé, le secret de la vie privée, éventuellement le doit à l'oubli des erreurs passées, etc. La solution passe par l'accroissement des pouvoirs de la CNIL, à laquelle il faut donner des moyens juridiques adaptés à ses missions qui vont se multipliant. L'autorisation de certains fichiers reste indispensable pour protéger des données sensibles, de même que leur déclaration pour permettre une surveillance a posteriori vigilante de la part de la CNIL. Appelée à jouer un rôle accru, celle-ci doit en avoir les moyens. Confier à la CNIL un rôle de veille technologique, encourager sa collaboration avec d'autres autorités indépendantes, renforcer sa position dans les négociations internationales, autant d'objectifs que nous partageons. Afin qu'ils ne demeurent pas des v_ux pieux, la CNIL devra toutefois bénéficier des mêmes prérogatives que ses homologues. Une CNIL au pouvoir affaibli et à l'activité réduite ne pourrait pas jouer dans la cour des grands, ce qui risque, hélas, d'arriver, si le législateur continue de limiter son droit de regard. Préciser la liste des informations que les responsables de traitement doivent fournir et consacrer le principe de publicité des avis de la CNIL va aussi dans le bon sens. Les dispositions proposées pour conforter la protection des personnes concernées par le fichage de données sensibles sont elles aussi judicieuses. A l'heure où triomphe un libéralisme débridé, il n'est pas mauvais de rappeler qu'un consentement exprès ne saurait garantir à lui seul la protection des personnes, soumises trop souvent à des rapports de force inégaux. Nous sommes enfin favorables à la création d'un délit d'entrave à l'encontre des personnes ou organismes qui s'opposeraient aux contrôles de la CNIL. Après ces points positifs du texte, j'en viens à ceux qui nous inquiètent et pourraient même nous conduire à un vote négatif. Les « ajustements » évoqués par le rapporteur se font, hélas, pour la plupart à la baisse. Nous sommes ainsi très réservés sur la mise en place de correspondants de la CNIL dans les collectivités ou les grandes entreprises. Le rapport Braibant y était d'ailleurs hostile, ne proposant nullement d'étendre ce qui a été fait, certes avec un certain succès, dans le domaine particulier de la presse. La nomination de tels correspondants ne saurait justifier l'allègement des procédures qui est proposé. La CNIL pourra certes toujours interroger a posteriori ces correspondants mais avec quelles garanties ? Nous avons déposé un amendement tendant à mieux garantir l'indépendance de ces correspondants. Nous sommes également réservés quant aux nouvelles procédures pour le transfert de données personnelles vers des pays tiers, moins protectrices que celles prévues par la loi de sécurité intérieure. « L'amendement DGSE » pose vraiment problème. D'une part, pour des questions de méthode : un amendement aussi important n'aurait pas dû être déposé au dernier moment. D'autre part, pour des raisons de fond : son texte est contradictoire avec la démarche engagée par la France au niveau européen et international. Au moment où notre pays incite les pays tiers à adopter des dispositifs de protection pour le transfert des données personnelles, il baisse la garde pour son propre dispositif ! Cet amendement est enfin presque insultant pour les magistrats placés auprès de la CNIL, sauf à penser qu'ils ne sont ni assez sérieux ni assez discrets. Nous sommes enfin très réservés quant à la possibilité ouverte aux personnes morales de constituer de véritables fichiers de police, c'est-à-dire contenant des informations pénales. Il est certes prévu que la liste des personnes morales concernées sera précisée dans une autre loi. Mais alors pourquoi mentionner cela ici ? M. Frédéric Dutoit - Tout à fait ! M. Christophe Caresche - Tous les soupçons sont permis. Le rapporteur du projet au Sénat, Alex Türk, expliquait que cette disposition était vivement souhaitée par la CNIL, pour « une raison pouvant paraître étrange », reconnaissait-il lui-même, à savoir « permettre d'éviter la constitution de certains fichiers clandestins ». Autrement dit, il s'agit de légaliser des pratiques illégales. Sur cette pente, on peut aller loin... L'argument nous paraît tout à fait spécieux et nous souhaitons que ce point soit revu. Le rapporteur a d'ailleurs déposé un amendement qui aurait pour conséquence d'autoriser dès à présent les personnes morales dans le domaine de l'édition musicale... M. le Rapporteur - Et dans ce seul domaine. M. Christophe Caresche - ...à constituer de tels fichiers, n'hésitons pas à le dire, « policiers ». Il faut savoir que huit millions de personnes pourraient être concernées. Sans doute certains d'entre vous ont-ils des enfants qui effectuent des copies privées de disques ou de films sur internet, eh ! bien, ils pourraient se trouver ainsi fichés. Aujourd'hui même, une personne a été condamnée à une lourde peine de prison avec sursis pour avoir dupliqué des cassettes vidéo, alors qu'elle l'avait visiblement fait à titre strictement privé. La solution que vous proposez ne répond pas au problème. Se battre pour la préservation de supports bientôt obsolètes est un combat d'arrière-garde. Il faut réfléchir à d'autres moyens de garantir la rémunération des auteurs, car il y a là en effet un problème. Mais l'institution d'une taxe serait sans doute plus appropriée que la constitution de tels fichiers policiers. Nul ne sait en effet où cette voie extrêmement dangereuse pourrait conduire. M. Frédéric Dutoit - Le régime applicable à la collecte des données personnelles dépendra désormais de la finalité des fichiers informatiques ainsi que de la nature des données collectées. La nouvelle législation vise à mieux protéger les personnes contre des atteintes qui évoluent en permanence sous la pression de la valeur marchande des données personnelles. Chaque individu est susceptible d'être fiché tout au long de sa vie, en tant qu'assuré social, contribuable, candidat à un emploi, salarié, malade... Le risque est permanent. L'utilisation courante de l'informatique et d'internet sur le lieu de travail pose le problème de la confidentialité des données personnelles mises en circulation à la fois dans l'entreprise et sur le réseau. La cybersurveillance des lieux de travail demeure un sujet de préoccupation, comme en témoignent les plaintes et les demandes de conseil reçues quotidiennement par la CNIL. Les entreprises possèdent aujourd'hui des fichiers de données à caractère personnel pouvant porter atteinte aux libertés individuelles, qui ne sont pas toujours portés à la connaissance de la CNIL. Comment éviter les dérives ? En tant que citoyens, les Français s'inquiètent au sujet des fichiers de police et de sécurité publique. D'ailleurs, la CNIL relève une importante progression du nombre de plaintes et de demandes d'accès à ces fichiers, dont la création risque de porter atteinte aux libertés individuelles et cela d'autant plus que les données qu'ils contiennent sont de plus en plus larges et impliquent un nombre de citoyens considérable. En tant que consommateurs, les gens font également les frais de cette multiplication des fichiers. Les sociétés de vente à distance, les sociétés éditrices de magazines ou journaux, les associations conservent des données personnelles et n'avertissent pas toujours clairement les consommateurs de leur faculté de s'opposer à ce que celles-ci soient mises à disposition d'organismes extérieurs pour être utilisées à des fins de prospection commerciale. En tant que patients enfin, les individus n'ont pas forcément conscience de l'enjeu du traitement des données médicales, dont la circulation peut assurément être utile, voire indispensable, mais qui relèvent en même temps de l'intimité. Le respect de la confidentialité des données médicales est-il vraiment assuré ? La CNIL doit ici jouer un rôle prépondérant de régulateur. D'une façon générale, son rôle est essentiel pour concilier le développement des nouvelles technologies, favorisant la communication des particuliers et la diffusion des informations - avec le formidable potentiel démocratique que cela recèle - et notre engagement républicain de respect de la vie privée et de protection des libertés individuelles. Ce projet renforce ses pouvoirs. En plus de ses pouvoirs de contrôle et de sanction, elle sera dotée de pouvoirs d'investigation, d'injonction et de sanction administrative pouvant aller jusqu'à 150 000 € et 300 000 € en cas de récidive. Mais dans la mesure où le régime de la déclaration devient le régime de droit commun et où les exonérations de déclaration sont étendues, il convient de s'interroger sur l'effectivité du contrôle a posteriori. Certes, huit catégories de fichiers seront soumises à autorisation, selon la nature des données collectées ou la finalité du traitement, mais les fichiers de souveraineté, qui intéressent entre autres la sûreté de l'Etat, la défense ou la sécurité publique, la répression pénale, seront désormais autorisés par un acte réglementaire après avis simple de la CNIL, alors que la loi de 1978 exigeait un avis conforme. Pourront donc être mis en _uvre, malgré un avis défavorable de la CNIL, les fichiers de police, de justice, les fichiers comportant le numéro de sécurité sociale, mais également les interconnexions de fichiers nécessaires à l'établissement ou au recouvrement de l'impôt, autrement dit des fichiers concernant la totalité ou la quasi-totalité de la population française. Cette nouvelle disposition constitue un recul pour les libertés individuelles des citoyens et affaiblit la CNIL. Par ailleurs, celle-ci aura-t-elle les moyens matériels d'exercer efficacement son contrôle ? Le système des correspondants des entreprises, introduit par le Sénat, offre-t-il des garanties d'indépendance suffisantes ? Nous aurions préféré un renforcement des effectifs de la CNIL, avec l'institution de délégués régionaux, et nous avions d'ailleurs déposé un amendement en ce sens, qui n'a malheureusement pas échappé au couperet de l'article 40. Nous reconnaissons le bien-fondé de cette réforme de la loi du 6 janvier 1978, mais nous ne sommes pas sûrs que la CNIL aura les moyens de faire respecter un juste équilibre des libertés individuelles. Nous sommes à l'aube d'une société aux forts potentiels de développement de la démocratie. Mais les nouvelles technologies peuvent être aussi de formidables moyens d'asservissement. Il nous faut donc, dans la transparence la plus totale et le respect de la personne humaine, trouver le chemin de la liberté des temps modernes. La discussion générale est close M. le Garde des Sceaux - Je remercie le rapporteur d'avoir souligné les avancées du projet. S'agissant du secret professionnel, nous avons cherché un équilibre entre le respect de ce principe et le pouvoir de contrôle de la CNIL. Celle-ci pourra accéder à de nouveaux documents, en particulier ceux établissant un profil unique utilisé par les sociétés bancaires ou les compagnies d'assurance, mais nous assurons d'autre part le respect de ce secret sans lequel la confiance - entre un médecin et son patient, un avocat et son client - n'est pas possible. Je remercie M. Delnatte d'avoir insisté sur les nouvelles possibilités de contrôle de la CNIL. En réponse aux questions de M. Caresche concernant la contrefaçon, je voudrais dire que l'amendement de la commission a pour objet d'habiliter certaines personnes morales assurant la gestion des droits d'auteur - nous pensons bien sûr à la SACEM - à tenir un fichier pour lutter contre la contrefaçon. Mais bien sûr, la CNIL conservera son entier pouvoir d'autorisation des traitements de ces fichiers. M. Caresche m'a également interrogé sur « l'amendement DGSE ». Précisons qu'il ne concerne pas les services de police et de gendarmerie, mais seulement les services secrets. Le renseignement et la lutte contre le terrorisme sont la finalité des fichiers visés, que la loi de 1978 comme le présent projet dispense d'actes réglementaires d'autorisation. L'amendement en question crée pour eux une dérogation aux pouvoirs d'investigation et d'accès de la CNIL, mais seulement à ces pouvoirs-là. La CNIL garde en effet ses autres pouvoirs, en particulier son pouvoir de contrôle préalable. En fait, le but est de permettre à nos services secrets de bénéficier d'informations venant de services étrangers, qui n'accepteraient pas, nous le savons, des pouvoirs d'investigation, d'où qu'ils viennent. Enfin, je remercie M. Dutoit. Nous reviendrons sur ses interrogations au cours de l'examen des amendements. Mme la Présidente - J'appelle maintenant, dans le texte du Sénat, les articles du projet de loi sur lesquels les deux assemblées du Parlement n'ont pu parvenir à un texte identique. M. Frédéric Dutoit - Il convient que la loi protège la personne qui n'est pas en mesure de se protéger de risques qu'elle ne maîtrise pas dans un contexte où de plus en plus d'ordinateurs privés sont connectés à des réseaux. C'est pourquoi notre amendement 36 restreint l'exception visée à cet article aux traitements mis en _uvre sur des matériels non connectés à un réseau de télécommunication. M. le Rapporteur - Ce serait instituer un régime moins protecteur. Avis défavorable. M. le Garde des Sceaux - Si cet amendement était adopté, il ferait tomber dans le champ d'application de la loi des traitements informatiques relevant d'un usage privé pour la seule raison qu'ils seraient connectés à un réseau de télécommunication, ce qui serait en contradiction avec la directive européenne. Avis défavorable. L'amendement 36, mis aux voix, n'est pas adopté. M. le Rapporteur - L'amendement 2 de la commission remplace l'expression « moyens susceptibles d'être raisonnablement mis en _uvre » par une phrase plus précise, afin d'éviter tout conflit juridique. L'amendement 2, accepté par le Gouvernement, mis aux voix, est adopté. L'article premier modifié, mis aux voix, est adopté. M. Frédéric Dutoit - Le critère de finalité étant celui qui permet d'apprécier la licéité des fichiers, nous souhaitons conférer un caractère exceptionnel à une réutilisation ultérieure de ces données pour une finalité autre que celle initialement retenue. C'est pourquoi nous proposons de bien souligner que « seul » un traitement ultérieur à des fins statistiques ou de recherche scientifique ou historique serait possible. Tel est le sens de notre amendement 37. Quant à notre amendement 38, il a pour objet d'aller plus loin dans l'anonymisation des données recueillies dans le cadre de tels traitements. M. le Rapporteur - Défavorable. Dans la mesure où un contrôle est exercé par la CNIL, on doit pouvoir utiliser ces données, notamment dans le cadre d'études menées par l'INSEE sur la santé publique ou autres. M. le Garde des Sceaux - Défavorable, car il faut pouvoir les utiliser pour des statistiques, ou encore des travaux de nature historique. L'amendement 37, mis aux voix, n'est pas adopté. M. le Rapporteur - L'amendement 3 est de précision. L'amendement 3, accepté par le Gouvernement, mis aux voix, est adopté. M. Frédéric Dutoit - L'amendement 38 est défendu. L'amendement 38, repoussé par la commission et le Gouvernement, mis aux voix, n'est pas adopté. M. Frédéric Dutoit - L'amendement 52 tend à ce que l'interconnexion de fichiers soit réalisée par des tiers de confiance n'ayant aucun intérêt à cette opération. Par ailleurs, les données ne peuvent être utilisées qu'aux fins pour lesquelles elles ont été recueillies. Enfin, elles ne doivent pas être conservées au-delà du temps nécessaire. M. Christophe Caresche - La loi du 6 janvier 1978 a encadré l'interconnexion des systèmes d'informations du secteur public et soumis l'utilisation du répertoire national d'identification des personnes physiques à une autorisation par décret en Conseil d'Etat, après avis conforme de la CNIL. Or, votre projet de loi affaiblit ces contraintes. Nous sommes conscients des avantages de l'interconnexion pour le fonctionnement des administrations, mais il ne faut pas en occulter les risques. Grande pourrait être la tentation d'exploiter des données personnelles disponibles! L'amendement 55 tend donc à renforcer ces garanties, en confiant à un tiers la réalisation de l'interconnexion, à l'instar de ce qui est pratiqué en Australie. M. le Rapporteur - Auparavant, tout ce qui relevait de la puissance publique était soumis à autorisation, que les fichiers recèlent des informations personnelles ou non. Il est proposé aujourd'hui d'opérer cette distinction. S'agissant des interconnexions, qu'elles soient publiques ou privées, elles sont soumises à l'autorisation de la CNIL. Et monsieur Dutoit, qui mieux que la CNIL pourrait remplir le rôle de ce tiers responsable ? Par ailleurs, une partie des observations de M. Caresche est couverte par un de mes amendements. M. le Garde des Sceaux - Défavorable. En effet, l'interconnexion est soumise au contrôle préalable de la CNIL. Par ailleurs, la directive n'impose pas cette contrainte supplémentaire. L'amendement 52, mis aux voix, n'est pas adopté, non plus que l'amendement 55. M. Christophe Caresche - L'amendement 56 tend à compléter la liste des données particulièrement protégées. Tout d'abord, les caractéristiques génétiques. Malgré les recommandations de Guy Braibant, et les dispositions de la déclaration universelle sur le génome humain, adoptée par la conférence générale de l'Unesco en 1997, elles n'y figurent pas. Même si la directive ne les vise pas expressément, plusieurs éléments iraient en ce sens, notamment la notion de données « susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée ». Ensuite, les éléments biométriques - analyses morphologiques, ADN. La tentation sera forte, dans le public comme dans le privé, de recourir à ces techniques qui peuvent porter atteinte à l'intimité de la vie privée. Par exemple, les difficultés relationnelles de certains doivent-elles être mentionnées dans des fichiers consultables par des institutions mais aussi par des sociétés privées ? M. Frédéric Dutoit - Notre amendement 51 tend également à protéger au maximum les données génétiques, souvent collectées dès le plus jeune âge et qui donnent une probabilité, non une certitude, sur le risque d'exposition à certaines maladies. Dans ce cas, il faut donc le consentement exprès de la personne ou de son représentant légal. Il en va de même pour les données relatives à l'intimité dans ses composantes psychiques et sociales. Les appréciations à ce sujet sont largement subjectives, comme le rappelle la CNIL elle-même. M. le Rapporteur - La commission a repoussé ces deux amendements. Le texte retenu est exactement celui de la directive. D'autre part, les « éléments biométriques » sont le produit de nouvelles technologies. Si sont en jeu des éléments interdits à la collecte, la CNIL interviendra ; sinon, il n'y a pas lieu d'instaurer des contraintes là où le danger n'existe pas. Quant aux caractéristiques génétiques, la protection des éléments relatifs à la santé et à l'appartenance ethnique les couvre largement. Je comprends donc mal la portée de ces amendements. M. le Garde des Sceaux - Avis défavorable. D'abord, il s'agit ici du texte de Mme Lebranchu. Sur le fond, l'article 25 prévoit une autorisation expresse de la CNIL notamment pour les traitements informatisés de données génétiques. Peut-on utiliser ces données à des fins scientifiques ? Vous voulez l'interdire. Nous considérons que, pour le progrès de la recherche, ce doit être possible sur autorisation explicite de la CNIL. L'amendement 56, mis aux voix, n'est pas adopté, non plus que l'amendement 51 M. le Rapporteur - Les amendements 4 et 5 sont rédactionnels. Les amendements 4 et 5, acceptés par le Gouvernement, successivement mis aux voix, sont adoptés. M. le Rapporteur - Le Sénat a prévu que les traitements pour rendre anonymes les données à caractère personnel doivent être autorisés par la CNIL. Nous préférons, par l'amendement 6, unifier les régimes d'autorisation en retenant la procédure de droit commun. L'amendement 6, accepté par le Gouvernement, mis aux voix, est adopté. M. Frédéric Dutoit - Le Sénat a donné aux personnes morales la possibilité de collecter des données personnelles relatives aux infractions, condamnations et mesures de sûreté, c'est-à-dire en fait à créer un véritable casier judiciaire privé. Nous comprenons la nécessité de lutter contre la fraude. Mais cela seul ne peut justifier la constitution de tels fichiers, avec tous les risques de dérives qu'ils présentent s'ils sont détenus par une banque ou une compagnie de crédit par exemple. Notre amendement 39 supprime donc cette disposition. Déjà, nombre de fichiers échappent au contrôle de la CNIL, de son propre aveu. N'en allongeons pas la liste. A ce propos, je m'oppose vivement à l'amendement du rapporteur qui donne aux personnes morales la possibilité de créer des fichiers relatifs à la prévention de la lutte contre la fraude. C'est ouvrir la boîte de Pandore et la voie au fichage généralisé. M. Christophe Caresche - Notre amendement 47 est identique. La possibilité de constituer de tels fichiers présente de grands risques. Le tagueur qui combat la publicité doit être sanctionné par l'Etat, et non fiché, peut-être pour toute sa vie. Il est vrai que, à l'exception de la catégorie prévue par l'amendement du rapporteur, le renvoi à une loi pour définir les personnes morales autorisées constitue une garantie. Mais dès lors, pourquoi faire déjà figurer le principe dans ce texte ? Il n'aura pas d'application immédiate. M. le Rapporteur - La loi de 1978 reste la référence, et le restera pour de nombreux textes à venir. La possibilité donnée ici à des personnes morales de constituer des fichiers ne l'est qu'avec une finalité précise, à savoir la prévention, la lutte contre la fraude et la réparation du préjudice subi. Si un autre texte doit définir les catégories visées, ce principe aura au moins une application immédiate en ce qui concerne la protection des droits d'auteur. Il faut savoir ce que vous voulez : on vous entend régulièrement protester contre les licenciements dans le pays ; or on en annonce de nombreux du fait de la crise de la SACEM. La solution que nous proposons n'est pas la panacée, mais il s'agit de donner aux sociétés qui gèrent les intérêts des artistes un moyen de se défendre. Le fichier sera destiné à recenser les délits d'habitude. M. Christophe Caresche - Ce n'est pas ce que dit votre amendement ! M. le Rapporteur - Mais si, il s'agit évidemment de cela, afin de pouvoir engager des poursuites. Pour le reste, il n'y a pas lieu d'établir un fichier. M. le Garde des Sceaux - Le Gouvernement est défavorable à ces amendements, le texte proposé encadrant strictement cette possibilité et renvoyant à une loi qui désignera les personnes morales en question. Avis favorable, en revanche, à l'amendement 7 de la commission, qui précise la portée du dispositif. M. Frédéric Dutoit - Je ne suis pas du tout convaincu... Pourquoi renvoyer à une loi future ? Ce n'est pas de bonne méthode. Et il ne s'agit pas seulement de la SACEM, Monsieur le rapporteur : les banques, en particulier, vont ainsi être autorisées à faire ce qu'elles voudront ! Quant aux droits d'auteur, vous prétendez les défendre, mais vous défendez en réalité les grosses entreprises productrices de musique ! Un parallèle évident peut d'ailleurs être fait avec la loi sur l'économie numérique, dans laquelle on a privatisé la justice. M. Christophe Caresche - L'amendement du rapporteur est bien la preuve que l'article proposé est dangereux. Je ne nie pas la crise qui résulte de la duplication sur internet, ni la nécessité de protéger les droits des auteurs. Mais tout d'abord, je ne pense pas qu'il faille traiter le problème par un amendement à un texte qui ne concerne absolument pas les droits d'auteur. Ensuite, je ne crois pas que vous ayez mesuré l'ensemble des conséquences de cet amendement : huit millions de personnes pourraient demain être fichées par la SACEM...Vous nous expliquez que le texte ne vise que les gros, mais que je sache, la loi est la même pour tout le monde ! Et on peut s'attendre à ce que la SACEM fasse des exemples, à l'instar du tribunal qui vient de sanctionner des personnes qui avaient copié des films sur internet, sans en faire commerce mais seulement pour un usage privé. Ce faisant, on ne va pas régler le problème. Il faudrait plutôt inventer de nouvelles formes de rémunération pour les auteurs. Vous verrez que ce gouvernement sera mis en cause, en particulier par les jeunes. Enfin, j'aimerais savoir, Monsieur le rapporteur, comment votre disposition s'articule avec le droit à la copie privée reconnu par la loi du 3 juillet 1985. M. le Rapporteur - Il s'agit ici d'infractions. Je vous renvoie à la nouvelle rédaction de l'article 25 de la loi de 1978, qui précise que « les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté » sont soumis à autorisation de la CNIL. Ce sera donc le cas pour la SACEM. Ce n'est pas l'endroit ou le moment pour adopter de telles dispositions, dites-vous. Mais, dans la situation actuelle de crise, avec l'évaporation de 30 % des droits d'auteur et des licenciements à la clef, n'avons-nous pas le devoir de légiférer utile ? M. Christophe Caresche - Je ne nie absolument pas les difficultés de la SACEM et des maisons de disques. Mais vous n'y apportez pas une réponse pertinente et vous allez créer d'autres problèmes. M. le Garde des Sceaux - Il faut que les choses soient claires. Quand y a-t-il fraude ? Ce n'est pas quand un jeune se fait une copie pour lui-même. Pour qu'il y ait fraude, il faut qu'il y ait échange avec un tiers. Les amendements 39 et 47, mis aux voix, mis aux voix, ne sont pas adoptés. M. le Rapporteur - Les amendements 7 et 8 sont défendus. Les amendements 7 et 8, acceptés par le Gouvernement, successivement mis aux voix, sont adoptés M. Christophe Caresche - Notre amendement 48 vise à limiter davantage les exceptions au principe selon lequel aucune décision produisant des effets juridiques ne peut être prise sur le fondement d'un traitement automatisé de données à caractère personnel. L'amendement 48, repoussé par la commission et par le Gouvernement, mis aux voix, n'est pas adopté. M. Frédéric Dutoit - La transfomation du NIR en un identifiant non signifiant, objet de l'amendement 40, apporterait une garantie importante de respect des droits des personnes. En effet, compte tenu des informations significatives que comporte le NIR, on peut craindre, avec la CNIL, qu'une utilisation non contrôle du NIR soit « susceptible d'entraîner l'engagement d'actions selon des critères discriminants et non légitimes ». Il est grand temps que la France rende le NIR aléatoire et non signifiant, comme il l'est en Grande-Bretagne ou aux Pays-Bas. Il est souhaitable en outre de graver dans le marbre de la loi le principe, dégagé par le Conseil constitutionnel, selon lequel l'utilisation du NIR ne doit servir qu'à garantir l'identité des personnes et à éviter les homonymies. Ceci exclut la possibilité de l'utiliser pour gérer des fichiers, faire des statistiques, procéder à des interconnexions : c'est ce qui résulte de la décision du 29 décembre 1998 sur la constitutionnalité de l'article 107 de la loi de finances pour 1999. On écarterait ainsi les dangers potentiels du NIR, en tant qu'identifiant unique permettant le rapprochement des fichiers et les interconnexions : souvenons-nous du tollé suscité par le projet SAFARI. Je rappelle enfin qu'à l'article 8-7 de la directive du 24 octobre 1995, le NIR, comme les données sensibles et les données concernant les infractions et les condamnations, est recensé dans une catégorie particulière de données. Ces raisons justifient notre amendement 40. M. le Rapporteur - Défavorable. En réalité l'accès au NIR est déjà trop encadré, notamment au 6° de l'article 25 du présent projet qui prévoit une autorisation de la CNIL. Et si la consultation est autorisée par décret, ce décret doit être visé par la CNIL. Toutes les garanties sont donc apportées. M. le Garde des Sceaux - Même avis. L'amendement 40, mis aux voix, n'est pas adopté. L'article 2 modifié, mis aux voix, est adopté. M. le Rapporteur - L'amendement 9 est rédactionnel. Le 10 est un amendement de précision. Quant à l'amendement 11, il corrige une erreur de référence. Les amendements 9, 10 et 11, acceptés par le Gouvernement, successivement mis aux voix, sont adoptés. M. le Rapporteur - A la CNIL est présent un commissaire du Gouvernement qui peut, sur une délibération défavorable aux thèses du Gouvernement, demander une seconde délibération. Par l'amendement 12, la commission souhaite préciser que cet appel doit intervenir dans les dix jours suivant la délibération initiale. L'amendement 12, accepté par le Gouvernement, mis aux voix, est adopté. L'article 3 modifié, mis aux voix, est adopté. M. le Rapporteur - L'amendement 13 est rédactionnel. L'amendement 13, accepté par le Gouvernement, mis aux voix, est adopté. M. Frédéric Dutoit - La création de correspondants à la protection des données à caractère personnel ne peut constituer une garantie suffisante pour déroger à toute formalité préalable à la mise en _uvre des traitements, en particulier concernant le respect des obligations prévues à l'article 6 nouveau. Et ce d'autant moins que cette disposition permettrait de déroger à toute formalité préalable, qu'elle concerne les traitements soumis à déclaration, visés à l'article 23 nouveau, ou ceux qui sont soumis à autorisation, visés aux articles 25, 26 et 27 nouveaux. Nous nous interrogeons d'ailleurs, Monsieur le ministre, sur l'ambiguïté juridique qui nous semble affecter la dispense de toute formalité justifiée par la présence de correspondants. En effet, ce nouvel alinéa est inséré dans le II de l'article 22 modifié, qui prévoit que « ne sont soumis à aucune des formalités préalables prévues au présent chapitre » les traitements pour lesquels le responsable du traitement a désigné un correspondant. Or, le chapitre IV organise les régimes de déclaration et d'autorisation. Faut-il comprendre que, dès lors qu'un correspondant est désigné, le traitement ne sera soumis ni à déclaration ni à autorisation ? Ou bien ne doit-on prendre en compte que la deuxième phrase du 3° nouveau, de sorte que ces traitements ne seraient alors dispensés que d'une déclaration ? L'amendement 14 du rapporteur tente de répondre à cette question, et nous attendrons donc ses explications. Mais nous vous demandons, Monsieur le rapporteur, de nous certifier que la présence d'un correspondant exclut toute dispense des formalités prévues aux articles 25, 26 et 27. Nous restons très réservés sur ce système des correspondants, même si le rapporteur assure que l'exercice de leur mission se fera en toute indépendance. En effet, un point nous inquiète : le statut de ce correspondant. Nous souhaiterions qu'il ait un statut de salarié protégé, et que ce soit inscrit dans la loi. Nous vous demandons, Monsieur le rapporteur, de réfléchir à cette proposition afin de rectifier votre amendement pour offrir au système du correspondant les garanties nécessaires à la protection des données. Dans l'immédiat, en l'absence de ces garanties, nous proposons par l'amendement 42 de supprimer les quatre derniers alinéas du II de l'article. M. le Rapporteur - Une partie des appréhensions de notre collègue trouvera réponse dans mon amendement 14. Il y a en effet une petite ambiguïté concernant l'autorisation et la déclaration. Mais ceci ne doit pas remettre en cause le principe même du correspondant. J'ai évoqué tout à l'heure l'ampleur des échanges d'informations entre la CNIL et les entreprises de ce pays, presque toutes concernées désormais. Les correspondants, dont je rappelle qu'ils doivent être agréés par la CNIL, exerceront une fonction de contrôle, mais aussi et surtout de pédagogie et d'information. Ce principe permettra - comme vous le souhaitiez tout à l'heure avec les délégués - de démultiplier l'action concrète de la CNIL. L'amendement 14 vise à résorber l'ambiguïté que vous signalez, en précisant que l'essentiel est la nature même du traitement : si celui-ci doit être soumis à autorisation, il le demeure, qu'il y ait ou non un correspondant. Avis défavorable donc à l'amendement 42. M. le Garde des Sceaux - Défavorable également. L'institution des correspondants me paraît très intéressante. Elle permettra de diffuser la « culture CNIL », le souci de répondre aux exigences dont la CNIL est garante. C'est un dispositif très utile à l'heure de la généralisation de l'outil informatique. Enfin, l'incertitude que comportait la rédaction va être levée par l'amendement de la commission. M. Frédéric Dutoit - J'entends bien M. le rapporteur et M. le ministre. J'ai dit que nous étions favorable à l'idée de délégués : nous sommes dans la même démarche positive. Mais vous ne m'avez pas répondu sur le statut du salarié correspondant. Ne faut-il pas le protéger, notamment face aux pressions de l'employeur ? M. le Rapporteur - Nous ne sommes pas allés jusqu'à en faire un salarié protégé. Mais la CNIL garantit son indépendance. Expérimentons d'abord, plutôt que de statufier immédiatement les gens : nous verrons, à l'expérience, s'il faut renforcer les garanties. L'amendement 42, mis aux voix, n'est pas adopté. M. le Rapporteur - L'amendement 14 tend à lever l'ambiguïté dont nous venons de parler, en précisant que c'est la nature même du traitement qui fonde son renvoi au régime d'autorisation ou de simple déclaration. M. le Garde des Sceaux - Favorable. M. Christophe Caresche - Cet amendement constitue un progrès, mais nous souhaitons l'améliorer encore. Lorsqu'il s'agit de données particulièrement sensibles, il faut maintenir une autorisation préalable : c'est l'objet du sous-amendement 53. Quant au sous-amendement 54, pour la protection des correspondants, il tend à leur attribuer la qualité de salariés protégés au sens du code du travail. Face aux pressions qui ne manqueront pas de s'exercer sur eux, ce serait une garantie d'indépendance. M. le ministre espère qu'ils diffuseront la culture de la CNIL, mais il peut se faire aussi qu'ils diffusent la culture de l'entreprise, et qu'ils subissent des pressions ou des tentations, dont il faut les abriter. M. le Rapporteur - Avis défavorable sur les sous-amendements. Il me semble que notre collègue est largement satisfait par l'amendement. En outre, rien n'interdit à la CNIL de procéder sur place pour s'assurer que son correspondant travaille dans des conditions qui assurent son indépendance. M. le Garde des Sceaux - Avis défavorable au sous-amendement 53 : l'exclusion proposée est déjà clairement prévue au II de l'article 22. Quant au 54, je pense que le dispositif du projet apporte déjà la protection nécessaire. M. Frédéric Dutoit - Je regrette, Monsieur le rapporteur, que votre angélisme nous empêche d'apporter aux correspondants la garantie d'un statut de salariés protégés. Il faut connaître les entreprises pour mesurer les pressions qui pourront s'exercer sur les correspondants, au détriment de leur indépendance. Tout en estimant que l'amendement aurait dû aller plus loin, je le voterai néanmoins car c'est un moindre mal. Le sous-amendement 53, mis aux voix, n'est pas adopté, non plus que le sous-amendement 54. L'amendement 14, mis aux voix, est adopté. M. Frédéric Dutoit - Trop de fichiers échappent encore au contrôle de la CNIL. Plutôt que de supprimer totalement la déclaration, une déclaration simplifiée, notamment par le biais d'internet, allégerait les formalités tout en garantissant un contrôle minimal. Tel est le sens de l'amendement 43. M. le Rapporteur - Avis défavorable. Cela irait à l'encontre même de l'un des objectifs du texte qui est d'alléger les procédures. M. le Garde des Sceaux - Supprimer les dispenses de déclaration, qui figuraient d'ailleurs déjà dans le texte préparé par le précédent gouvernement, alourdirait considérablement le travail de la CNIL. L'amendement 43, mis aux voix, n'est pas adopté. M. le Rapporteur - L'amendement 15 est de précision. L'amendement 15, accepté par le Gouvernement, mis aux voix, est adopté. M. le Rapporteur - L'amendement 16 est de coordination. L'amendement 16, accepté par le Gouvernement, mis aux voix, est adopté. M. Christophe Caresche - L'amendement 50 rétablit le 4° de l'article 25 tel que voté par l'Assemblée nationale. Le texte en est plus clair et plus facile à comprendre que celui voté au Sénat, qui restreint en outre le champ des fichiers soumis à autorisation. L'amendement 50, repoussé par la commission et par le Gouvernement, mis aux voix, n'est pas adopté. M. le Rapporteur - L'amendement 17 est rédactionnel. L'amendement 17, accepté par le Gouvernement, mis aux voix, est adopté. M. Frédéric Dutoit - Par l'amendement 44, nous demandons que tous les traitements relatifs aux systèmes de vidéosurveillance entrent dans le champ de contrôle de la CNIL. L'enregistrement et la conservation d'images peuvent porter atteinte aux libertés des personnes. M. le Rapporteur - Avis défavorable. Etant donné le développement de la vidéosurveillance, la charge de travail de la CNIL exploserait. M. le Garde des Sceaux - Avis tout à fait défavorable. Le traitement des images de vidéosurveillance est encadré par la loi de juin 1995 qui apporte un haut niveau de garantie. L'amendement 44, mis aux voix, n'est pas adopté. M. le Rapporteur - L'amendement 18 anticipe la délivrance des titres d'identité électroniques en soumettant à la procédure de contrôle préalable les traitements de données biométriques. M. le Garde des Sceaux - Avis favorable. L'amendement 18, mis aux voix, est adopté. M. le Rapporteur - L'amendement 19 vise le même objectif que le précédent. L'amendement 19, accepté par le Gouvernement, mis aux voix, est adopté. M. le Rapporteur - L'amendement 20 prévoit que les déclarations, les demandes d'autorisation et les demandes d'avis adressées à la CNIL devront être plus précises. L'amendement 20, accepté par le Gouvernement, mis aux voix, est adopté. M. le Rapporteur - L'amendement 21 apporte une précision. L'amendement 21, accepté par le Gouvernement, mis aux voix, est adopté. M. le Rapporteur - L'amendement 22 est rédactionnel. L'amendement 22, accepté par le Gouvernement, mis aux voix, est adopté. L'article 4 modifié, mis aux voix, est adopté. M. le Rapporteur - L'amendement 23 prévoit que, lorsque les données à caractère personnel sont recueillies par le biais d'un questionnaire, la personne doit être informée par écrit de l'identité du responsable du traitement, de la finalité de celui-ci, du caractère obligatoire ou facultatif des réponses ainsi que de ses droits d'opposition, d'accès et de rectification. M. le Garde des Sceaux - Avis favorable. L'amendement 23, mis aux voix, est adopté. M. le Rapporteur - L'amendement 24 allège les contraintes pesant sur les administrations chargées d'établir les statistiques publiques. M. le Garde des Sceaux - Avis favorable. L'amendement 24 rectifié, mis aux voix, est adopté. M. le Rapporteur - Les amendements 59 et 60 sont de coordination avec la codification de la loi de janvier 1979 relative aux archives. Les amendements 59 et 60, acceptés par le Gouvernement, successivement mis aux voix, sont adoptés. M. Frédéric Dutoit - L'amendement 46 est défendu. L'amendement 46, repoussé par la commission et par le Gouvernement, mis aux voix, n'est pas adopté. M. le Rapporteur - L'amendement 25 encadre mieux les conditions dans lesquelles le titulaire d'un droit d'accès aux données d'un traitement peut obtenir communication des « informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé. » M. le Garde des Sceaux - Avis favorable. L'amendement 25, mis aux voix, est adopté. M. le Rapporteur - L'amendement 26 apporte une clarification. L'amendement 26, accepté par le Gouvernement, mis aux voix, est adopté. L'article 5 modifié, mis aux voix, est adopté. M. le Garde des Sceaux - L'amendement 35 institue une dérogation exceptionnelle de contrôle pour les fichiers les plus sensibles de la DST et de la DGSE, lesquels demeurent néanmoins soumis au contrôle préalable de la CNIL. M. le Rapporteur - Avis favorable. M. Christophe Caresche - Pourquoi les magistrats placés auprès de la CNIL ne pourraient-ils pas contrôler ces fichiers ? Il est pour le moins paradoxal d'abaisser notre niveau de protection dans le même temps où l'on exige des pays tiers un niveau de protection renforcé ! La lutte contre le terrorisme ne saurait justifier que l'on sorte de l'Etat de droit. Dernier problème, que j'avais déjà soulevé en commission : peut-on déroger à la loi par un décret ? M. le Rapporteur - Bien sûr que non. Mais ce n'est pas ce dont il est question ici, même si le texte de l'amendement eût pu être plus clair. M. le Garde des Sceaux - L'amendement dit seulement que pour les traitements intéressant la sûreté de l'Etat, le décret en Conseil d'Etat qui prévoit une dispense de publication de l'acte réglementaire qui les autorise, peut prévoir aussi que le traitement n'est pas soumis aux dispositions de cet article. L'amendement 35, mis aux voix, est adopté. L'article 6 modifié, mis aux voix, est adopté. M. le Rapporteur - Cet article concerne les sanctions prévues en cas de manquement aux règles prévues. Celles-ci doivent être graduées, pédagogiques et dissuasives. L'amendement 27 supprime une restriction au pouvoir de la CNIL de recourir à des sanctions pécuniaires introduite par le Sénat. L'Etat demeure cependant exclu du champ de ces sanctions. M. le Garde des Sceaux - Favorable. Si l'Etat est exclu du champ des sanctions pécuniaires prononcées par la CNIL, c'est parce que celle-ci ne disposant pas de la personnalité morale, lui permettre d'infliger des sanctions à l'Etat reviendrait à considérer que l'Etat peut s'imposer à lui-même une amende. L'amendement 27, mis aux voix, est adopté. M. le Rapporteur - L'amendement 28 module les pouvoirs de verrouillage de la CNIL en fonction de la nature des traitements. L'amendement 28, accepté par le Gouvernement, mis aux voix, est adopté. M. le Rapporteur - L'amendement 29 est rédactionnel. L'amendement 29, accepté par le Gouvernement, mis aux voix, est adopté. M. le Rapporteur - L'amendement 30 dit que la commission peut rendre publics les avertissements qu'elle prononce et ordonner l'insertion des autres sanctions qu'elle prononce dans les publications, journaux et supports qu'elle désigne. L'amendement 30, accepté par le Gouvernement, mis aux voix, est adopté. L'article 7 modifié, mis aux voix, est adopté. M. le Rapporteur - L'amendement 31 rectifié corrige une erreur de décompte des alinéas. M. le Garde des Sceaux - Favorable. L'amendement 31 rectifié, mis aux voix, est adopté. L'article 8 modifié, mis aux voix, est adopté. M. le Rapporteur - Le 32 est un amendement de cohérence. L'amendement 32, accepté par le Gouvernement, mis aux voix, est adopté. L'article 11 ainsi modifié, mis aux voix, est adopté. L'article 12, mis aux voix, est adopté. L'article 14, mis aux voix, est adopté. M. Christophe Caresche - Notre amendement 1, qui rétablit un article introduit par l'Assemblée en première lecture mais supprimé par le Sénat et qui a été adopté par notre commission des lois, tend à ce que la conclusion ou la fin d'un PACS soit mentionnée en marge de l'état civil. Faute d'une telle mention marginale, les notaires demandent systématiquement la délivrance d'un certificat de non-PACS, ce qui constitue une procédure assez lourde. Le Sénat a supprimé cet article au motif que le PACS serait un contrat sans incidence sur l'état des personnes. Cette analyse ne tient pas compte de la différence existant en droit entre l'état civil lui-même, qui ne comporte que des informations relatives à l'état de la personne à proprement parler, et les mentions marginales, qui constituent une mesure de publicité. A ce titre sont actuellement inscrites en marge de l'état civil les mentions relatives au répertoire civil - tutelles et curatelles - ou au régime matrimonial, qui portent autant sur le régime des biens que sur l'état des personnes. Puisque, s'il faut en croire certaines déclarations, la majorité souhaite améliorer le PACS, après l'avoir fortement combattu, elle a ici une possibilité de le faire immédiatement. Je souhaite donc que l'Assemblée suive la commission et adopte cet amendement de simplification. M. le Rapporteur - La commission a en effet adopté cet amendement, mais à titre personnel j'avais émis quelques réserves, car je ne suis pas sûr que ce soit dans un texte sur la CNIL qu'il faille procéder à une telle modification, qui est tout de même importante. Mais puisque déclarations gouvernementales il y a eu, écoutons le ministre sur ce sujet. M. le Garde des Sceaux - Je suis défavorable à cet amendement, d'abord parce qu'il n'a qu'un faible rapport avec le sujet, ensuite parce que le PACS, institution contractuelle, ne concerne pas les personnes, alors que les mentions en marge d'un document d'état civil concernent exclusivement l'état des personnes. M. Christophe Caresche - Il s'agit seulement de simplifier des formalités ! Par ailleurs, je m'étonne qu'au moment où l'on parle d'améliorer le PACS, le Garde des Sceaux prenne cette position et invite l'Assemblée à se déjuger par rapport à son vote de première lecture et à ne pas suivre l'avis de sa commission, que d'ailleurs le rapporteur a rapporté avec une certaine frilosité. L'amendement 1, mis aux voix, n'est pas adopté et l'article 15 ter demeure supprimé. M. le Rapporteur - L'amendement 61 est de coordination. L'amendement 61, accepté par le Gouvernement, mis aux voix, est adopté. M. le Rapporteur - L'amendement 57 rectifié, de coordination, procède à diverses modifications de références. L'amendement 57 rectifié, accepté par le Gouvernement, mis aux voix, est adopté. M. le Rapporteur - L'amendement 58 met en cohérence les dispositions de l'article 24 de la loi du 18 mars 2003 pour la sécurité intérieure et celles figurant à l'article 68 nouveau du projet de loi. M. le Garde des Sceaux - Favorable. M. Christophe Caresche - Je déplore que cet amendement soit en retrait par rapport à l'article 24 de la loi de sécurité intérieure, qui exigeait pour un échange de données l'existence de garanties équivalentes à celles du droit interne, tandis qu'il est seulement ici question d'un « niveau de protection suffisant de la vie privée ». Cela s'ajoute à toutes les petites régressions qui nous ont été proposées soit par le Sénat, soit par M. Delattre. L'amendement 58, mis aux voix, est adopté. M. le Rapporteur - Compte tenu du retard pris, nous proposons dans l'amendement 34 de reporter l'échéance prévue pour la mise en conformité de certains fichiers au 24 octobre 2010. M. le Garde des Sceaux - Favorable. L'amendement 34, mis aux voix, est adopté. L'article 17, mis aux voix, est adopté. M. Christophe Caresche - Si, en entrant dans cet hémicycle, j'hésitais encore entre m'abstenir ou voter contre, j'avoue que le déroulement du débat ne m'a pas incité à l'abstention! Les amendements adoptés représentent une régression, notamment à l'article 9, et, sur de nombreux points, vous n'avez retenu aucune de nos propositions - je pense notamment au PACS. M. Delattre a parlé d'ajustement. Oui ! A la baisse! Ce texte est en net recul par rapport à la législation de 1978, ce qui est d'autant plus inquiétant que les progrès technologiques ont permis un recours accru aux interconnexions de fichiers. Pour toutes ces raisons, je voterai contre. L'ensemble du projet de loi, mis aux voix, est adopté. Prochaine séance mardi 4 mai, à 9 heures 30. La séance est levée le vendredi 30 avril, à 0 heure 20. Le Directeur du service ORDRE DU JOUR A NEUF HEURES TRENTE : 1ère SÉANCE PUBLIQUE 1. Questions orales sans débat. 2. Fixation de l'ordre du jour. A QUINZE HEURES : 2ème SÉANCE PUBLIQUE 1. Questions au gouvernement. 2. Discussion du projet de loi, adopté par le Sénat (n° 1515), relatif au contrat de volontariat de solidarité internationale. M. Jacques GODFRAIN, rapporteur au nom de la commission des affaires étrangères. (Rapport n° 1556.) A VINGT ET UNE HEURES TRENTE : 3ème SÉANCE PUBLIQUE Discussion, après déclaration d'urgence, du projet de loi (n° 1350) relatif au dispositif de solidarité pour l'autonomie des personnes âgées et des personnes handicapées. M. Denis JACQUAT, rapporteur au nom de la commission des affaires culturelles, familiales et sociales. (Rapport n° 1540.) |
