XVe législature
Session ordinaire de 2017-2018

Séance du mardi 06 février 2018

L’ordre du jour appelle la suite de la discussion du projet de loi relatif à la protection des données personnelles (nos 490, 592, 579). Cet après-midi, l’Assemblée a entendu tous les orateurs inscrits dans la discussion générale.
La parole est à Mme la garde des sceaux, ministre de la justice.
Madame la présidente, madame la rapporteure de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, madame la rapporteure pour avis de la commission des affaires sociales, madame la rapporteure au nom de la commission des affaires européennes, mesdames et messieurs les députés, je répondrai en quelques mots aux propos tenus par les orateurs qui se sont exprimés lors la discussion générale.
Peut-être commencerai-je par reconnaître un désaccord substantiel avec M. Prud’homme sur les modalités même du règlement général sur la protection des données – RGPD. En effet, monsieur le député, vous contestez le changement de paradigme né du RGPD, alors que nous pensons, avec les autres États européens, que la responsabilisation des acteurs est un élément extrêmement puissant, qui permet de concilier la protection des données et la liberté laissée aux acteurs.
Vous dites par ailleurs que ce texte laisse le champ libre au marché de la collecte des données à but lucratif. Ce sentiment ne me semble pas conforme à la réalité, puisque le texte tend à protéger les libertés et les données personnelles, et qu’il organise cette protection.
Sans moyens ? Monsieur Peu, vous avez reconnu que le projet de loi apportait des avancées, mais vous refusez ce que vous nommez une méthode arbitraire de légiférer. Selon vous, l’habilitation qui sera soumise à votre vote empêche le Parlement de prendre ses responsabilités. Je vous rappelle que nous nous sommes engagés à opérer une codification à droit constant, en fonction des dispositions que vous adopterez dans le texte qui est soumis à votre approbation. Il s’agit d’une simple opération de légistique destinée à permettre la clarification du texte.
Vous avez regretté des manques ou des oublis. Vous avez notamment posé la question du consentement, en précisant, à la fin de votre propos, que la notion mériterait d’être approfondie. Plusieurs orateurs ont soulevé le problème. Je rappelle que le RGPD définit le consentement et que nous pouvons reprendre cette définition. La rapporteure formulera en ce sens une proposition que nous examinerons avec la plus grande attention. Nous convenons qu’il s’agit d’un point nodal, mais, entre les propositions du RGPD et les évolutions suggérées par la rapporteure, nous devrions trouver une solution satisfaisante.
Monsieur Rebeyrotte, vous êtes revenu sur plusieurs sujets que nous avions abordés en commission et c’est à peine si, à la tribune, vous avez eu le temps de poser quatre questions.
Vous demandez en premier lieu quels seront les nouveaux moyens de la Commission nationale de l’informatique et des libertés – CNIL. La CNIL a vu son plafond d’emplois s’élever, entre 2010 et 2017, de 140 à 198 emplois, de même qu’elle s’est vu attribuer des crédits supplémentaires. Mais peut-être n’est-ce pas ici le lieu d’en discuter : cela devra être débattu lors de l’examen du projet de loi de finances.
Vous posez aussi la question essentielle de l’accompagnement des entreprises. Comme vous le savez, différents dispositifs ont été prévus par le texte. Par ailleurs, la chancellerie comme la CNIL ont d’ores et déjà adopté une série de dispositions très concrètes pour communiquer avec les entreprises sur les nouvelles obligations qui leur seraient imposées. Nous espérons que l’ensemble de ces dispositifs constituera un accompagnement suffisant.
En troisième lieu, vous vous êtes interrogé sur le droit à l’oubli
post mortem. Je vous rappelle que le règlement ne trouve pas à s’appliquer aux personnes décédées, comme le précisent les considérants 27 et 158, et que l’article 40-1 de la loi de 1978, modifié par la loi pour une République numérique, précise le régime applicable nationalement aux personnes décédées. L’article 40-1 prévoit ainsi que « Les droits ouverts à la présente section s’éteignent au décès de leur titulaire ».
La direction des affaires civiles et du sceau de mon ministère rédige actuellement un décret en vue de créer un registre unique d’enregistrement des références des directives générales relatives à la conservation, à l’effacement et à la communication de ces données à caractère personnel après son décès et du tiers de confiance numérique. Nous espérons que ces dispositifs – mais il en existe d’autres – répondront à vos interrogations.
J’en viens à votre quatrième question – pardonnez-moi de répondre brièvement, je ne voudrais pas être trop longue. Il s’agissait des délais pour l’ordonnance. Celle-ci sera prise d’ici à la fin du mois d’octobre 2018. Comme je l’ai dit à l’instant, son seul objet est de clarifier la rédaction de la loi de 1978, sans modifier le fond du texte que vous allez voter. Il s’agit d’une simple réécriture.
Monsieur Gosselin, vous avez eu une très belle expression, en disant qu’après de longues années de travail, « le fruit est plutôt beau ». Sans verser dans la satisfaction abusive, j’avoue que l’enfant qui nous est présenté est ma foi plutôt bien tourné.
(Sourires.) Il n’y a pas eu non plus d’accouchement au forceps ! Dans votre propos, vous avez rappelé l’importance de l’historique de ces textes, auxquels vous avez pris une part considérable. Le résultat – l’équilibre, pour citer d’autres orateurs – auquel nous sommes parvenus est relativement satisfaisant, sous réserve d’un certain nombre de corrections.
Vous avez formulé des inquiétudes quant à la précipitation de nos travaux et à la loi d’habilitation. La précipitation – ce n’est pas une excuse, mais apporte du moins une explication – tient à la charge de travail du Parlement et à la nécessité d’inscrire des textes à l’ordre du jour dans des délais parfois contraints. Quant à l’habilitation, je ne reviens pas sur le fait qu’il s’agisse d’un travail strictement légistique. C’est un engagement que je prends devant vous.
Encore un mot sur le retard que vous avez souligné : au moment où nous parlons, seules l’Allemagne et l’Autriche ont adopté le texte de transposition.
Je l’ai dit. Nous ne sommes donc pas en retard, la nécessité étant de disposer d’un texte en mai. Quoi qu’il en soit, je vous remercie, monsieur le député, pour votre propos sur le modèle français qui a permis de construire le modèle européen. Je pense comme vous qu’il est nécessaire d’en exclure la marchandisation. Je m’engage également sur ce point, comme sur l’accompagnement des PME, auquel vous avez fait allusion.
Monsieur Latombe, à l’aide d’exemples très concrets, vous avez évoqué l’approche pragmatique de ce texte pouvant paraître conceptuel et abstrait, et ce qu’il apporterait en matière de protection des données personnelles. Je pense comme vous que la force du projet de loi vient de son ancrage européen. Dans ce domaine, il n’y a pas vraiment de frontières, tant celles-ci sont difficiles à tracer. Il était essentiel de donner à ce travail une assise européenne.
Vous avez également formulé des propositions sur l’action de groupe. Nous aurons l’occasion d’en reparler lors de nos débats. Je ne préjuge pas de leur contenu ni des amendements qui seront défendus.
Madame Untermaier, je pense comme vous que passer à un système responsable est un véritable pari, pour reprendre votre mot. Il s’agit en effet d’inverser les pratiques connues jusqu’à présent et de responsabiliser les acteurs. Les acteurs publics devront mettre l’ensemble des entreprises en capacité de gérer de nouvelles informations, et la CNIL faire face à une nouvelle forme de travail et de réactivité. Je partage évidemment votre approche.
Vous craignez que le texte ne comporte des oublis. Vous faites notamment allusion aux nécessaires explications des algorithmes. Nous aurons l’occasion d’y revenir. Vous êtes très attachée à un mécanisme de transparence
ab initio de ces algorithmes. Notre système s’organise plutôt autour des garanties qu’il convient de leur apporter. Nous en reparlerons au cours du débat.
À partir de l’expérience précise de la start-up Cardiologs, M. Villani a évoqué la nécessité d’être à la fois protecteur et efficace. Telle est l’optique du Gouvernement qui, dans ce texte, a pour ambition de protéger sans retarder.
Par ailleurs, M. Villani souligne qu’on ne peut pas aller trop loin dans l’encadrement sans prendre le risque d’affaiblir entreprises ou chercheurs. Le Gouvernement a précisément choisi de ne pas surtransposer, de ne pas brider certains mécanismes, ce qui me semble très important.
Mme de la Raudière a souligné que la CNIL doit être tolérante et compréhensive avec ceux qu’elle nomme les « petits », et qu’il est important que nous attachions de l’intérêt au nouveau travail que nous allons demander notamment aux petites et moyennes entreprises. C’est aussi notre conception et notre philosophie.
Mme de la Raudière a également souligné, comme d’autres orateurs, qu’il faut travailler sur le consentement : chaque personne doit pouvoir accorder un consentement éclairé sur l’utilisation de ses données personnelles. Je lui donne raison sur ce point. Je redis ce que j’ai indiqué précédemment : le consentement est un sujet qui est source de préoccupations et qui doit être défini clairement. Chacun doit pouvoir mesurer ce à quoi il consent. Le RGPD propose une définition, que nous préciserons peut-être grâce à l’action de la rapporteure.
Madame Constance Le Grip, vous avez rappelé que vous avez déjà voté ce texte au Parlement européen. À ce titre, vous avez assisté à la naissance du RGPD, connu son progrès et son déploiement. Je pense, comme vous le souligniez, qu’il est essentiel de ne pas créer de frein pour les entreprises. Je réaffirme que nous sommes attentifs à la communication, à la mission d’appui de la CNIL. C’est dans cet équilibre du texte entre la protection des données et la nécessaire impulsion, l’indispensable créativité, que nous trouverons la meilleure utilisation de ce texte.
Mme Le Pen a évoqué plusieurs sujets, notamment des questions liées à la souveraineté et au pouvoir donné à des autorités de contrôle étrangères. Je rappelle à ce sujet que la CNIL joue un rôle tout à fait essentiel et que rien, évidemment, ne pourra se faire sans elle. C’est bien la coopération entre toutes les autorités qui fera la force du travail que nous aurons à conduire ensemble.
M. Vuilletet a évoqué le sens politique du texte, en rappelant la nécessité de convaincre les citoyens que cette loi va les protéger, ce en quoi nous sommes d’accord. Il a également souhaité que l’on revienne sur l’âge à partir duquel on peut donner son consentement, soit quinze ans ; nous en reparlerons dans le cours du débat. De même pour ce qui est de la nécessité d’élargir le cadre de l’action de groupe, plusieurs amendements nous permettront d’en débattre.
Monsieur Bothorel, vous avez fait part de votre accord sur la philosophie générale du texte, en faisant valoir qu’il s’agissait à la fois d’un projet de loi d’équilibre et d’un texte qui offrait un avantage de compétitivité à l’Europe. Je crois qu’il est tout à fait essentiel de le souligner. Vous avez souhaité que, s’agissant du consentement de l’utilisateur, nous exercions une grande vigilance : ce consentement, avez-vous dit, ne doit être « ni présumé, ni induit ». Nous aurons un débat sur tous ces sujets. Vous nous avez rappelé votre implication pour préserver les droits des Européens, notamment face aux grands groupes. À cet égard, il faut saluer la philosophie d’ensemble de ce texte et aller plus loin si nécessaire. Il importe que nous y travaillions, ce qui suppose aussi de bien cerner les enjeux juridiques et économiques au plan européen.
L’ensemble des observations qui ont été faites par les députés me paraissent extrêmement précieuses pour le débat que nous allons tenir et augurent d’échanges sereins, précis et argumentés.
J’appelle maintenant, dans le texte de la commission, les articles du projet de loi. La parole est à Mme Virginie Duby-Muller, inscrite sur l’article. Madame le président, madame le ministre, madame le rapporteur, mes chers collègues, lors de la précédente législature, nous avions eu l’occasion d’examiner ce qui est devenu la loi pour une République numérique, votée le 7 octobre 2016. Elle portait plusieurs propositions pour la protection des données personnelles, sans pour autant couvrir l’ensemble du champ du règlement européen. Nous l’avions déjà dénoncé : de nombreux sujets clés étaient éludés ou traités de manière incohérente au regard de la réglementation européenne ; des mesures étaient en décalage, sinon en contradiction, avec le paquet européen.
Le présent projet de loi arrive donc à point nommé. Il marque un vrai changement de paradigme, en renforçant la sécurité des données personnelles de nos concitoyens et en responsabilisant les dirigeants. Vous l’aurez compris, nous en tirons un bilan positif, d’autant plus que nos discussions se déroulent dans un esprit de consensus, en bonne intelligence.
Cependant, j’appelle votre attention sur un vrai bémol, sur une occasion manquée : celle de l’innovation. Le RGPD prévoit en effet plus de cinquante possibilités pour les États membres d’assouplir certaines de leurs obligations. Parmi celles-ci figure la possibilité de favoriser le
big data , en facilitant la mise en œuvre des traitements des données à des fins statistiques.
Vous le savez, nous connaissons aujourd’hui un déluge de données, leur volume doublant tous les vingt-quatre mois. Faciliter leur analyse, chercher des corrélations inédites, favoriser l’émergence de services innovants, c’est l’enjeu du
big data aujourd’hui, et c’est la condition de l’intelligence artificielle de demain. En renonçant à exploiter cette possibilité, le projet de loi risque de passer à côté de ce sujet, qui n’est pas seulement prospectif mais qui peut exercer un impact sur toute notre économie, et plus largement notre société.
Au vu des atouts de notre industrie et de notre école mathématique, ce choix serait regrettable. Cela risque aussi de donner une longueur d’avance à nos concurrents dans ce domaine. Nous devons donc prendre en compte le sujet dans sa globalité, en construisant des ponts entre l’innovation, la protection des données et le développement industriel. Sans revenir sur la protection apportée par le droit européen, il faut permettre à l’innovation d’être au rendez-vous.
(Applaudissements sur les bancs du groupe LR.) La parole est à M. Yannick Favennec Becot. Madame la présidente, madame la ministre, mes chers collègues, notre pays s’est toujours montré soucieux d’accompagner les évolutions en matière informatique, et aujourd’hui numérique, dans le respect des droits des personnes. Avec l’Allemagne, il a d’ailleurs été un précurseur en la matière.
Avec ce nouveau texte, la CNIL, autorité administrative indépendante, mais qui peut être qualifiée de juge de la conformité, va jouer un rôle encore plus essentiel dans la protection des données personnelles des personnes concernées, notamment parce que son pouvoir de sanction sera plus dissuasif grâce à l’augmentation de l’amende administrative qu’elle pourra infliger au responsable du traitement mais aussi au sous-traitant.
S’il me paraît indispensable de responsabiliser davantage les organisations publiques et privées de la donnée, en renforçant leurs obligations en matière de transparence et de respect des droits des personnes, je crois aussi important de permettre une action de groupe réparatrice des préjudices subis. En effet, il est temps de mettre un frein à la toute-puissance des GAFAM – Google, Apple, Facebook, Amazon, Microsoft – qui font fructifier, sur le dos des personnes concernées, ce nouvel or noir qu’est la donnée, une matière première gratuite et inépuisable.
Il me paraît également majeur de s’assurer qu’aucune identification, directe ou indirecte, avérée ou potentielle, ne sera possible, tant pour les données à caractère personnel dans le domaine de la santé, lorsque le résultat d’un traitement sera rendu public, que dans le cadre de l’action des réutilisateurs des informations judiciaires publiques issues de l’
open data . Nous devons en effet garantir aux personnes concernées que les algorithmes de justice prédictive, par exemple, n’évolueront pas vers des traitements qui permettront la réidentification des personnes concernées par les décisions de justice traitées. Nous en venons aux amendements. La parole est à Mme Danièle Obono, pour soutenir l’amendement n37. Ce projet de loi modifie les missions de la CNIL, qui passe d’une mission principielle d’autorisation a priori à un contrôle a posteriori de supervision. Cela fait donc reposer la mission de garantie des droits fondamentaux en matière numérique, en premier lieu, sur les acteurs et les actrices de ce secteur.
Vous venez de nous dire, madame la ministre, que nous entretenions un désaccord philosophique sur le sujet. Vous considérez que responsabiliser ces acteurs et actrices, c’est faire confiance aux entreprises du numérique pour s’autoréguler et respecter la vie privée des individus, et cela alors même que la violation des règles protégeant les données personnelles pourrait engendrer un gain économique. Pour notre part, nous considérons que c’est en réalité laisser le champ libre aux entreprises, notamment aux plus grandes d’entre elles, et que le mode de contrôle qui est proposé leur permettra de budgéter les conséquences d’un éventuel contrôle de la CNIL.
Ces contrôles seront aléatoires, non pas parce que la CNIL refuse d’opérer un contrôle systématique, mais parce qu’elle n’en a pas les moyens, humains ni techniques : son budget de 17 millions est à rapporter aux 300 millions finançant son équivalent américain. Elle n’est donc pas en mesure d’assurer un certain nombre de missions.
Alors que l’on réforme cette autorité en profondeur, l’augmentation de son budget demeure marginale. Notre amendement a donc pour objet de repréciser les missions principales de la CNIL, en réaffirmant une hiérarchie entre celles-ci au profit de ses compétences d’autorisation. Par cet amendement, ses pouvoirs de supervision ont vocation à devenir complémentaires.
Veuillez conclure, ma chère collègue… Nous avons la possibilité de le faire. En effet, le 5. de l’article 36 du règlement le permet : il confère la possibilité auxÉtats d’assurer ce garde-fou. La parole est à Mme Paula Forteza, rapporteure de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, pour donner l’avis de la commission. Madame Obono, nous avons changé de paradigme. Les prises de parole au cours de la discussion générale ont montré l’existence d’un consensus pour aller dans ce sens, et cela a déjà été tranché au niveau européen. Il nous serait donc difficile de revenir dessus. Les nouveaux rôles de la CNIL en termes d’accompagnement des entreprises, de mise en place d’un droit souple, sa mission de guide, devraient aider tous les acteurs à assurer la mise en conformité. Les acteurs pourront, au fur et à mesure, comprendre quelles sont ces nouvelles obligations. L’avis de la commission est donc défavorable. Quel est l’avis du Gouvernement ? Madame la députée, comme je l’ai dit au cours de la discussion générale, vous développez un point de vue radicalement opposé à celui que nous avons défendu dans ce texte. Il me semble que le rôle de la CNIL tel que vous souhaiteriez le voir défini est totalement différent de celui qui découle logiquement de la philosophie de ce texte, qui opère un basculement du contrôle a priori vers le contrôle a posteriori . C’est vrai. Pour ces raisons, nous ne pouvons qu’émettre un avis défavorable. La parole est à Mme Danièle Obono. Nous ne désespérions pas de vous convaincre, c’est pourquoi nous avons reproposé cet amendement. Je pense que nous serons d’accord sur le fait qu’il s’agit d’un enjeu majeur aujourd’hui, en termes économiques mais aussi politiques. Nous n’intentons pas de procès en bonne ou en mauvaise foi, mais nous savons les enjeux économiques du traitement des données et de leur protection, et nous savons aussi que chez les acteurs de ce secteur, le profit et la rentabilité – fort logiquement, c’est leur nature – prévalent sur toute autre considération.
Il nous semble qu’en refusant cet amendement, vous n’accordez pas les moyens à la communauté nationale, à travers la CNIL, d’encadrer leurs activités et d’être à la hauteur des enjeux du XXIesiècle en matière de numérique et de protection. Un changement qualitatif du rôle de la CNIL doit passer, comme cela se fait dans d’autres pays, par un renforcement de ses moyens lui permettant d’être à la hauteur de cette question extrêmement importante de la protection de la vie privée, d’enjeux économiques et de droits pour les citoyens et les citoyennes à voir leurs données protégées et non pas utilisées à des fins économiques. Nous ne doutons pas que les débats continueront sur ce terrain. Nous aurons l’occasion d’y revenir, avec encore davantage d’arguments, pour faire évoluer les choses dans ce sens.
Très bien !
(L’amendement n37 n’est pas adopté.) La parole est à Mme Paula Forteza, rapporteure, pour soutenir l’amendement n102. C’est un amendement de précision.
(L’amendement n102, accepté par le Gouvernement, est adopté et l’amendement n179 tombe.) La parole est à Mme Alexandra Valetta Ardisson, pour soutenir l’amendement n7. Il s’agit également d’un amendement de précision, qui vise à protéger le traitement des données des mineurs de moins de quinze ans. En effet, la précision « moins de quinze ans » n’avait pas été apportée dans le texte initial. Ce sujet a été abordé dans la discussion générale. Quel est l’avis de la commission ? Un amendement de M. Rebeyrotte, allant dans le même sens, a été déposé. Il a un champ assez large et prévoit exactement ce que vous décrivez. Je vous demande donc de retirer votre amendement. À défaut, l’avis sera défavorable. Quel est l’avis du Gouvernement ? Même avis. Madame Valetta Ardisson, retirez-vous votre amendement ? Oui, madame la présidente.
(L’amendement n7 est retiré.) La parole est à Mme Danièle Obono, pour soutenir l’amendement n39. Dans son avis du 30 novembre 2017, la CNIL regrette que l’objet des règlements types prévus à l’article 1erdu projet de loi soit limité à la seule sécurité des systèmes. En effet, d’autres dimensions de la protection des données, notamment en matière de finalité, de minimisation des données ou de respect des droits, devraient faire l’objet d’un encadrement par des règles de fond et pas uniquement des règles de sécurité. Le 4. de l’article 9 du règlement prévoit une telle marge de manœuvre.
En précisant que les règlements types peuvent ne pas uniquement concerner la seule sécurité des systèmes de traitement, mais être relatifs à d’autres éléments tels que le respect des libertés et des droits, la CNIL peut ainsi jouer un rôle accru pour cadrer la création de nombreux systèmes de traitement de données. En limitant la CNIL à la possibilité d’édicter des règlements types pour la sécurité des systèmes, le Gouvernement nie tout son rôle de protection des droits et l’importance des enjeux. Cet amendement vise à y remédier.
Quel est l’avis de la commission ? Élargir le champ des règlements types à tous les domaines ne nous semble pas pertinent, surtout dans une logique consistant à flexibiliser l’accès aux données. Par ailleurs, s’agissant des données plus sensibles que sont les données biométriques, génétiques et de santé, nous avons poursuivi l’élargissement que vous évoquez. J’estime que nous sommes parvenus à un bon équilibre en commission. Avis défavorable. Quel est l’avis du Gouvernement ?
Même avis. En commission des lois, nous avons émis un avis favorable à l’amendement présenté par Mme la rapporteure visant à élargir la possibilité pour la CNIL d’émettre des règlements types relatifs aux données biométriques, génétiques et de santé, qui ne se limitent pas à la seule sécurité. S’agissant des autres types de données, nous ne souhaitons pas étendre le champ d’application des règlements types au-delà de la sécurité des systèmes.
(L’amendement n39 n’est pas adopté.) Je suis saisie de deux amendements identiques, nos 38 et 111.
La parole est à M. Ugo Bernalicis, pour soutenir l’amendement n38.
Le présent projet de loi, outre transposer les textes européens, modifie également les missions de la CNIL, qui passe d’une mission principielle d’autorisation a priori à un contrôle de supervision exercé a posteriori . Cela fait reposer la mission de garantie des droits fondamentaux en matière numérique en premier lieu sur les acteurs du secteur.
On peut certes dire qu’on veut les responsabiliser, faire confiance aux entreprises du numérique pour s’autoréguler et respecter les droits fondamentaux, même si leur violation est susceptible de produire un gain économique. C’est une position.
On peut aussi considérer qu’on leur laisse en réalité le champ libre et qu’ils parieront sur le caractère très aléatoire du contrôle effectué par la CNIL – non par défaut de volonté de procéder à un contrôle systématique des entreprises, mais par manque de moyens humains et techniques. Le budget de la CNIL s’élève à 17 millions d’euros. La FTC – 
Federal Trade Commission – , qui mène des missions équivalentes aux États-Unis, dispose de 300 millions, soit près de vingt fois plus ! Ses missions ne sont pas les mêmes ! Alors que l’on veut réformer en profondeur cette autorité administrative, l’augmentation de son budget demeure marginale. Cet amendement vise à préciser les principales missions la CNIL. Quel est l’avis de la commission ? Il me semble, cher collègue, que votre intervention ne correspond pas à l’amendement que vous deviez présenter. Je m’en chargerai ! L’amendement n38 propose d’étendre l’établissement de règlements types en matière de génétique, biométrique et de santé aux traitements de données mis en œuvre pour le compte de l’État. Mais ceux-ci sont soumis à un régime d’autorisation préalable, par un décret en Conseil d’État pris après avis de la CNIL, qui sera publié. Il s’agit d’un régime plus protecteur, justifiant que ces règlements types fassent l’objet d’une exception. L’avis de la commission sur l’amendement n38 est donc défavorable. Quel est l’avis du Gouvernement ? Je m’exprimerai moi aussi sur l’amendement n38 que M. Bernalicis n’a pas présenté… (Rires.) C’est la neige ! Je rappelle que le Gouvernement a écarté la possibilité, pour la CNIL, de prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé si celui-ci est mis en œuvre pour le compte de l’État agissant dans l’exercice de ses prérogatives de puissance publique, dans la mesure où la situation de l’État diffère de celle dans laquelle se trouvent les autres opérateurs de traitement.
Comme l’a rappelé Mme la rapporteure, les traitements de données comportant des données biométriques, génétiques et de santé sont soumis à une autorisation préalable de la CNIL sur le fondement des articles 26 et 27 de loi du 6 janvier 1978 s’ils sont mis en œuvre pour le compte de l’État, et sur le fondement de l’article 25 sinon. Le principe de responsabilisation des responsables de traitement qui sous-tend le règlement européen amène à supprimer les formalités préalables à la mise en œuvre de ces traitements sensibles pour les responsables autres que l’État.
Le projet de loi prévoit en contrepartie que la CNIL pourra prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement de ces données sensibles afin d’en encadrer l’utilisation. Un tel garde-fou reposant sur la CNIL nous semble inutile pour les traitements mis en œuvre pour le compte de l’État, lesquels demeurent soumis à un avis préalable de la même CNIL.
Ainsi, celle-ci sera saisie pour avis avant toute mise en œuvre d’un tel traitement et pourra préconiser toutes les mesures de sécurité qu’elle estime nécessaires pour encadrer strictement l’utilisation des données sensibles. Il n’est donc pas exact de soutenir que des fichiers tels que le fichier national automatisé des empreintes génétiques – FNAEG – ou le fichier des titres électroniques sécurisés – TES – pourraient désormais être créés sans cadrage de la CNIL. Le Gouvernement est donc défavorable à l’amendement n38.
La parole est à M. Jean-Paul Dufrègne, pour soutenir l’amendement identique n111. Et poser la question à laquelle Mme la rapporteure et Mme la ministre viennent de répondre ! (Rires.) Ce n’est pas la peine ! Gagnons du temps ! L’alinéa 11 de l’article 1er prévoit que la CNIL établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel, d’une part, et d’autre part de régir les traitements de données biométriques, génétiques et de santé. À ce titre, elle peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé, conformément à l’article 9 du règlement européen, et des données relatives aux infractions pénales, conformément à l’article 10 du même règlement.
L’alinéa 11 exclut ces mesures supplémentaires pour les traitements mis en œuvre pour le compte de l’État agissant dans l’exercice de ses prérogatives de puissance publique. Le présent amendement vise à supprimer cette exception, compte tenu de la nécessité d’encadrer strictement le traitement des données sensibles. La CNIL s’est exprimée en ce sens dans son avis du 30 novembre 2017, regrettant notamment que les mesures techniques et organisationnelles supplémentaires qu’elle prescrirait pour le traitement de ces données « ne puissent concerner les traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice même des prérogatives de puissance publique, alors que le besoin de cadrage du traitement de certaines données n’y est pas moins important ».
Et quelle est la question ? Quel est l’avis de la commission ? Avis défavorable. La CNIL peut procéder à des contrôles a posteriori, pour lesquels elle dispose de pouvoirs d’enquête élargis et précisés : c’est encore une garantie de plus que celle de l’autorisation préalable. Quel est l’avis du Gouvernement ? Même avis. La parole est à M. Ugo Bernalicis. Je souhaiterais rectifier quelque peu ma défense initiale – peut-être est-ce le rhume ? (Sourires) – mais la logique reste la même. Laquelle ? La CNIL doit exercer un large contrôle. Le contrôle a posteriori qui est envisagé n’est clairement pas satisfaisant. Nous pensons qu’il faut observer un principe de précaution dans ce domaine. La CNIL doit pouvoir se saisir du sujet sans que les prérogatives de puissance publique ne fassent l’objet d’une exception.
(Les amendements identiques nos 38 et 111 ne sont pas adoptés.) La parole est à Mme Christine Hennion au nom de la commission des affaires européennes, pour soutenir l’amendement n° 181. Avant de le soutenir, j’évoquerai brièvement l’amendement n179, tombé en raison de la nouvelle rédaction de l’alinéa 6 qui vient d’être adoptée. Il visait à favoriser l’innovation et rassurer les dirigeants de start-up et de petites entreprises innovantes, qui s’inquiètent de ne pas disposer d’un cadre d’expérimentation. La CNIL doit se concentrer sur ces petites entreprises et en faire sa priorité. Il importe qu’elle le fasse et qu’elle le fasse savoir.
L’amendement n181, comme plusieurs autres que j’ai déposés, porte sur la médiation. La CNIL a reçu l’an dernier 7 000 plaintes et n’a adressé que 25 mises en demeure. Elle a donc un exercice du droit assez souple, mais il serait bon d’écrire dans la loi que la CNIL met en œuvre une certaine médiation. C’est l’objet de cet amendement, qui sera complété par deux autres que je présenterai ultérieurement.
Quel est l’avis de la commission ? S’agissant de l’expérimentation, je partage votre préoccupation, mais le règlement européen ne nous laisse pas cette latitude. Nous avons néanmoins prévu des garanties pour les PME, qui peut-être seront applicables à ces start-up innovantes qui vous tiennent à cœur.
S’agissant de l’amendement n181, faire jouer à la CNIL un rôle de médiation pose problème. En effet, un tel rôle doit être exercé par un tiers ; or la CNIL participe à l’instruction de la plainte. Mener conjointement l’instruction et la médiation la placerait en situation d’être à la fois juge et partie. Nous ne pouvons donc pas être favorables à cet amendement, mais le serons peut-être à d’autres, relatifs à la sensibilisation à la médiation, que nous examinerons plus tard.
Ouverture intéressante ! Quel est l’avis du Gouvernement ? Madame Hennion, vous soulevez le sujet intéressant de la médiation. Néanmoins, tel qu’il est rédigé, votre amendement conduit à ce que la CNIL mène des actions de médiation. Or il ne semble pas possible qu’une autorité de contrôle mène des médiations dès lors qu’elle peut être amenée à prononcer des sanctions. Une médiation ne peut être menée que par un tiers indépendant, distinct de l’autorité de contrôle. Telle est sa nature même.
Il est primordial que le médiateur soit un tiers afin qu’il exerce la médiation avec efficacité et impartialité. C’est d’ailleurs ce que prévoit la directive de 2008 sur certains aspects de la médiation en matière civile et commerciale, applicable aux litiges transfrontaliers. La CNIL est compétente pour prononcer des sanctions à l’encontre des responsables de traitement de données et de leurs sous-traitants. Elle ne peut donc jouer le rôle de médiateur.
En outre, la situation évoquée dans l’exposé sommaire de l’amendement ressortit à la phase contradictoire entre la CNIL et les responsables de traitement de données. Cette phase, préalable à une éventuelle sanction, permet un échange entre les parties et peut par exemple amener le responsable de traitement à modifier son comportement et la CNIL à classer la plainte, ce qui ne s’apparente pas exactement à une médiation.
L’amendement me semble ainsi mener à une forme de confusion entre les deux phases. Nous y sommes donc défavorables. En revanche, comme l’a laissé entendre Mme la rapporteure, nous serons favorables à certains amendements relatifs à l’instauration d’un mécanisme de médiation que vous défendrez ultérieurement.
Double promesse ! La parole est à Mme Christine Hennion. Je retire mon amendement, madame la présidente.
(L’amendement n181 est retiré.) Vous gardez la parole, madame, pour soutenir l’amendement n° 156. Il s’agit toujours de la médiation. Nous proposons que les médiateurs de la consommation puissent être saisis de litiges entre des entreprises, par exemple des plateformes, et des particuliers. Je pense en particulier aux objets connectés, qui vont se multiplier. Quel est l’avis de la commission ? Avis favorable, comme je l’ai laissé entendre tout à l’heure : si la CNIL ne peut pas devenir un médiateur, elle peut sensibiliser d’autres acteurs à la médiation, ce qui permettra de résoudre les conflits en amont. Merci pour cette proposition, comme pour votre implication dans ce texte.
(L’amendement n156, accepté par le Gouvernement, est adopté.) Je suis saisie de deux amendements, nos 40 et 104 rectifié, pouvant être soumis à une discussion commune.
La parole est à M. Loïc Prud’homme, pour soutenir l’amendement n40.
La CNIL est actuellement saisie de façon automatique uniquement sur les projets de loi ; le texte prévoit une saisine pour les propositions de loi, ce que nous approuvons. En effet, aujourd’hui, le Gouvernement peut décider de court-circuiter la CNIL en transformant des textes normalement soumis à son avis en proposition de loi, déposée par un parlementaire docile et obédient de sa majorité. Ça arrive… Oh, ce n’est pas leur genre ! Et toute ressemblance avec les législatures passées… (Sourires.) Pour éviter que des textes législatifs qui affectent les droits et libertés numériques ne soient adoptés dans la hâte et sans réelle expertise technique, il nous est apparu indispensable de créer un garde-fou parlementaire et citoyen en permettant à tout parlementaire ou toute association agréée de saisir la CNIL pour avis sur une proposition de loi, dans les mêmes conditions que les présidents de l’Assemblée nationale et du Sénat. La parole est à M. Stéphane Peu, pour soutenir l’amendement n104 rectifié. Dans la même logique, nous proposons d’élargir aux présidents de groupes parlementaires la possibilité de saisir la CNIL sur une proposition de loi relative à la protection des données personnelles. Le pluralisme des débats, et donc la démocratie, en seront renforcés. Excellent amendement ! Quel est l’avis de la commission ? Nous considérons que l’amendement du groupe La France insoumise, qui élargit la saisine à tous les parlementaires, va un peu trop loin : la CNIL risquerait de ne pas avoir les moyens de répondre à toutes les demandes. En revanche, un élargissement nous paraît judicieux. En commission, nous avions d’ailleurs déjà ouvert cette possibilité aux présidents de commission. Nous sommes donc défavorables à l’amendement n40, mais favorables au n104 rectifié, qui a l’avantage d’ouvrir la possibilité de saisine à l’opposition. Très bien ! Quel est l’avis du Gouvernement ? En effet, les possibilités de saisine de la CNIL ont déjà été élargies en commission. Je suis favorable à l’amendement n104 rectifié de M. Peu, parce que l’élargissement de la saisine aux présidents de groupes parlementaires est envisageable. En revanche, l’autre amendement est trop large : comme l’a expliqué Mme la rapporteure, la CNIL risquerait d’être noyée sous des saisines multiples. Avis défavorable à l’amendement n40. La parole est à M. Loïc Prud’homme. À nouveau, il s’agit d’une question de moyens. Vous limitez les possibilités de saisine parce que la CNIL ne pourra pas répondre aux demandes. C’est fort dommage. Le contrôle de la CNIL est nécessaire, et le fait que la sécurité des données personnelles des citoyens dépende d’une question de porte-monnaie est tout de même un grave problème.
Quant au fait que seuls les présidents de groupes puissent saisir la CNIL, je ferai observer qu’il y a des députés non inscrits : comment pourront-ils saisir la CNIL ? Et s’agissant du groupe La France insoumise, je pense que notre président le fera systématiquement quand nous lui demanderons. Cela ne changera donc rien à la question du manque de moyens.
(Applaudissements sur les bancs du groupe FI.)
(L’amendement n40 n’est pas adopté.)
(L’amendement n104 rectifié est adopté.) La parole est à M. Stéphane Peu, pour soutenir l’amendement n105. Je suis très encouragé dans mon élan. J’ai peur que vous n’alliez dans le mur ! Je suis lucide, cher collègue… C’est le début de la sagesse ! (Sourires.) La loi de 1978 autorise la CNIL à participer aux réunions d’instances internationales dans le domaine de la protection des données, mais uniquement à la demande du Premier ministre. Le projet de loi maintient cette disposition, alors que le nombre de réunions internationales de régulation a évidemment largement augmenté depuis 1978. D’après la CNIL elle-même, le texte actuel est insuffisant et inadapté à la fréquence des réunions.
Notre amendement vise donc à permettre à la CNIL de participer aux réunions internationales sans l’intervention systématique du Premier ministre.
Quel est l’avis de la commission ? La participation à ces réunions internationales constitue une action de « diplomatie numérique » dont nous pensons qu’elle est du ressort du Gouvernement. Celui-ci doit conserver un droit de regard sur cette activité, surtout menée par une autorité indépendante. Avis défavorable, et peut-être la ministre vous apportera-t-elle des précisions supplémentaires. Quel est l’avis du Gouvernement ? Avis défavorable. Je suis désolée de briser votre élan, monsieur le député ! (Sourires.) La CNIL, autorité administrative indépendance, ne dispose pas de la personnalité juridique : elle ne peut par conséquent pas représenter la France, ni être associée à des négociations internationales autrement que si le Premier ministre lui donne mandat à cet effet – cela dit sans préjudice des mécanismes de cohérence et de coopération prévus par le chapitre VII du futur règlement.
(L’amendement n105 n’est pas adopté.) Je suis saisie de deux amendements identiques, nos 152 et 163.
La parole est à M. Philippe Gosselin, pour soutenir l’amendement n152.
J’ai pris soin de déposer cet amendement, recyclé de celui qui avait été discuté en commission sous le numéro 65. J’ai bien fait, car Mme la ministre s’était engagée à déposer un amendement mieux rédigé que le nôtre, sans qu’on voie rien venir…
Il nous paraît nécessaire de permettre à la CNIL de saisir d’autres interlocuteurs que l’ARCEP – Autorité de régulation des communications électroniques et des postes. On pourrait citer l’Agence nationale de la sécurité des systèmes d’information – ANSSI –, le Conseil national du numérique – CNNum –, la Commission supérieure du numérique et des postes et bien d’autres…
Bref, l’ARCEP n’est pas le seul interlocuteur de la CNIL et il nous semble qu’il faut aller au-delà. Puisque l’idée semblait convenir à tous et que ni le Gouvernement ni la rapporteure n’ont proposé d’amendement, je vous propose d’adopter celui-ci, malgré les avis défavorables qui lui seront probablement donnés, afin d’acter les choses dès maintenant.
La parole est à Mme Constance Le Grip, pour soutenir l’amendement n163. Il faut en effet à notre sens renforcer considérablement les prérogatives de la CNIL. Nous proposons que celle-ci puisse être éclairée, accompagnée par d’autres instances, et qu’elle puisse donc saisir pour avis toute autorité ou institution pertinente, comme le CNNum ou l’ANSSI. Quel est l’avis de la commission ? Nous nous étions donné rendez-vous pour travailler ensemble à une nouvelle rédaction, monsieur Gosselin… Nous attendions un effort de votre part ! (Sourires.) C’est un rendez-vous manqué ! Mais c’est vous qui disposez des moyens de la commission ! L’amendement est partiellement satisfait par la loi du 20 janvier 2017 sur les autorités indépendantes, qui prévoit que celles-ci peuvent se saisir mutuellement. Dans le cas des autres institutions, la rédaction demeure trop vague. Avis défavorable. Quel est l’avis du Gouvernement ? Je formulerai une demande de retrait. Votre proposition, qui est de permettre à la CNIL de saisir « toute autre autorité ou institution intéressée par l’accomplissement de ses missions », est en effet satisfaite par l’article 15 de la loi du 20 janvier 2017, qui dispose que « Une autorité administrative indépendante ou une autorité publique indépendante peut saisir pour avis une autre autorité de toute question relevant de la compétence de celle-ci ». En outre, la loi de 1978 prévoit déjà une saisine pour avis de l’ARCEP par la CNIL.
Ces raisons suffiraient, mais j’ajouterai que la notion d’« autorité ou institution intéressée par l’accomplissement de ses missions » me paraît trop imprécise.
Je note enfin que la commission des lois a voté, à l’initiative de la rapporteure, un amendement qui permet à la CNIL d’établir des règlements types en concertation avec les organismes publics et privés représentatifs des acteurs concernés.
Voilà pourquoi je demande le retrait de ces amendements.
La parole est à M. Philippe Gosselin. La loi de janvier 2017 élargit les possibilités de saisine entre autorités administratives indépendantes – je rappelle au passage la place particulière de la CADA, la commission d’accès aux documents administratifs, auprès de la CNIL – mais cela ne vise justement que les autorités administratives indépendantes. Or, le Conseil national du numérique, indépendamment de ses soucis actuels, n’en est pas une, pas plus que la Commission supérieure du numérique et des postes.
Vous avez donc raison, mais partiellement. Puisqu’il semble que le rendez-vous avec la rapporteure ait été manqué – je le regrette mais je me suis fié, sans doute à tort, au compte rendu de la commission des lois, ou peut-être ai-je pris mes désirs pour des réalités… – je propose ce soir d’adopter cet amendement – ce qui est rentré ne prend plus l’eau ! – et de le parfaire lors de la navette parlementaire. J’aimerais que puisse être actée la capacité, somme toute raisonnable, de la CNIL à saisir d’autres instances.
Monsieur Gosselin, Mme Le Grip, maintenez-vous vos amendements ? Oui. Oui.
(Les amendements identiques nos 152 et 163 ne sont pas adoptés.)
(L’article 1er, amendé, est adopté.) Nous en venons aux amendements portant articles additionnels après l’article 1er. La parole est à Mme Danièle Obono, pour soutenir l’amendement n41. Au-delà de la fracture numérique qui a été dénoncée par le Défenseur des droits, la connaissance par chaque citoyen et citoyenne de ses droits et libertés en matière d’informatique et de numérique nous paraît indispensable aujourd’hui.
Je pense, par exemple, à l’éducation aux risques pouvant peser sur les droits et libertés, qui se fait par une bonne information sur les conséquences pratiques de la mise à disposition de données personnelles – pensées, photos – sur des sites internet ou des applications qui les conservent – Facebook, Linkedin – ou collectées en masse ; ou encore à une bonne information quant aux moyens de faire valoir ses droits – droit d’accès, de rectification, d’opposition, droit au déréférencement – notamment pour les personnes au sujet desquelles les systèmes de traitements de données contiennent des données erronées ou ne devant pas y figurer, avec pour conséquence d’entraver leurs projets.
La loi actuelle reste en effet trop vague. L’article 11 de la loi de 1978 dispose seulement que la CNIL « informe toutes les personnes concernées ». Cet amendement permet aussi de donner les moyens et le cadre juridique à la CNIL pour renforcer le rôle du collectif EDUCNUM, qu’elle a initié en mai 2013 et qui regroupe aujourd’hui soixante acteurs et actrices de l’éducation, de la recherche et de l’économie numérique.
Par cet amendement, nous donnons la possibilité aux départements, universités, académies et rectorats volontaires qui en font la demande de bénéficier de l’appui et des compétences de la CNIL pour informer le public et les élèves des enjeux liés aux droits et libertés numériques ainsi que des moyens de les faire valoir et de se prémunir d’atteintes qui pourraient leur être portées.
Quel est l’avis de la commission ? Je partage vos préoccupations. Cependant, la CNIL a déjà lancé plusieurs initiatives en collaboration avec le ministère chargé de l’éducation. Par exemple, une convention de partenariat a été signée le 10 mars 2016 aux termes de laquelle les deux institutions partagent des ressources pédagogiques et les mettent à disposition des enseignants et des élèves. Un site internet, www.educnum.fr, propose également des ressources. Enfin, des formations sont mises en place pour les enseignants.
Le rôle de la CNIL est de contribuer aux ressources et contenus proposés par l’éducation nationale, qui devra travailler sur les programmes et la formation des enseignants. Nous allons proposer des amendements en ce sens dans la suite des débats. À ce stade, avis défavorable.
Quel est l’avis du Gouvernement ? Comme Mme la rapporteure, je partage vos préoccupations, madame Obono, mais je vous indique qu’en prenant appui sur l’article 11 de la loi de 1978, le ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche et la CNIL ont signé en 2016 une convention portant sur les usages responsables et citoyens du numérique à l’école. Cette convention permet de concevoir des ressources pédagogiques, de les mettre à disposition, d’organiser et de promouvoir différentes actions. Sa conclusion en 2016 pour une durée de deux ans prive de pertinence aujourd’hui l’expérimentation que vous proposez.
Toutefois, parce qu’il partage vos préoccupations, le Gouvernement donnera dans quelques instants un avis favorable à l’amendement de la rapporteure, rédigé de manière un peu différente, qui tend à compléter un article du code de l’éducation afin de prévoir la formation des élèves à la protection des données personnelles. J’émets donc un avis défavorable.
(L’amendement n41 n’est pas adopté.) La parole est à Mme Constance Le Grip, pour soutenir l’amendement n2. Cet amendement, déposé par Patrick Hetzel, avait été débattu lors de l’examen du projet de loi pour un État au service d’une société de confiance. Le ministre avait alors indiqué qu’il avait plutôt sa place dans le projet de loi relatif à la protection des données personnelles. C’est la raison pour laquelle nous le défendons ce soir.
L’amendement vise à rétablir la possibilité de collecter des informations biométriques, permettant ainsi de créer une carte d’identité et un passeport électroniques utilisant des procédés d’identification biométrique. Pour protéger nos compatriotes d’une éventuelle utilisation abusive de ces données biométriques, il est proposé de subordonner à l’accord explicite, libre, informé et spécifique de son titulaire l’emploi des données contenues dans un titre d’identité électronique. L’amendement garantit ainsi le respect des libertés individuelles.
Quel est l’avis de la commission ? Je voudrais rappeler l’encadrement prévu pour le traitement de ce type de données. Pour le secteur public, une autorisation préalable est exigée, avec un avis de la CNIL, celle-ci pouvant également exercer un contrôle a posteriori . Pour le secteur privé, ce sont les règlements type qui encadrent le traitement de ce type de données. Les utilisations que vous mentionnez sont permises, mais elles sont davantage encadrées afin de garantir la protection des données personnelles. Avis défavorable. Quel est l’avis du Gouvernement ? Cet amendement aborde deux sujets : d’une part, le traitement des données personnelles, notamment biométriques, par les services de l’État afin de s’assurer que le porteur d’une pièce d’identité en est bien le titulaire légitime ; d’autre part, le déséquilibre qui résulterait d’un encadrement plus strict de ces traitements lorsqu’ils sont réalisés par l’État plutôt que lorsqu’ils le sont par des entreprises à des fins privées.
Sur le premier point, le traitement de données personnelles pour les cartes d’identité et passeports biométriques est encadré par un décret d’octobre 2016. Une liste retreinte de personnes est habilitée par ce décret à s’assurer que l’identité mentionnée sur le titre est bien celle de son porteur. Il s’agit d’un objectif tout à fait conforme à la jurisprudence du Conseil constitutionnel. Il ne me semble pas opportun d’accepter le principe d’une utilisation des données biométriques pour d’autres finalités que celles qui visent à authentifier le porteur du titre d’identité, d’autant que l’amendement est très imprécis sur lesdites finalités.
Plus généralement, s’agissant de l’identité numérique, j’ai lancé il y a quelques jours, avec mes collègues Gérard Collomb et Mounir Mahjoubi, une mission confiée à l’inspection générale de l’administration. Il s’agit pour nous d’un sujet très fort. En effet, dès lors que nous voulons dématérialiser davantage de procédures, il convient d’en assurer les conditions de fiabilité, pour l’État, pour nos concitoyens et pour les entreprises.
Sur le second point qui concerne les sociétés commerciales, le RGPD et la directive que nous transposons viennent, je crois, répondre à vos préoccupations. À travers les dispositions de ce projet de loi, le Gouvernement entend encadrer le traitement de données biométriques par les entreprises privées. L’article 1er que votre assemblée a déjà adopté précise que la CNIL peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé. Il s’agit là d’autant d’informations que nos smartphones ou nos montres connectées récoltent quotidiennement. Le RGPD lui-même impose la réalisation d’une analyse d’impact ou une consultation de la CNIL préalablement au traitement de ces données dont je mesure pleinement la sensibilité.
Pour l’ensemble de ces raisons, j’émets un avis défavorable sur votre amendement.
(L’amendement n2 n’est pas adopté.) La parole est à Mme Caroline Janvier, pour soutenir l’amendement n142. Il demande la remise d’un rapport évaluant l’impact pour les PME et les ETI des nouvelles prérogatives de la CNIL.
La digitalisation constitue pour ces entreprises une priorité, mais aussi une difficulté. Selon une étude réalisée en avril-mai 2017 par OpinionWay, deux entreprises sur dix déclarent être bien engagées dans la transformation numérique.
Le rôle d’accompagnateur de la CNIL, qui est facilité par ce texte, va prendre dans ce contexte une certaine importance. En effet, au-delà de l’aspect technique de la digitalisation, c’est un ensemble de processus de certification qu’il faudra penser, ainsi qu’un travail culturel auprès des entrepreneurs qu’il faudra mener.
Quel est l’avis de la commission ? L’Assemblée nationale possède des moyens de contrôler l’application de la loi. Ainsi la commission des lois présentera-t-elle un rapport sur la mise en application de la loi afin d’évaluer l’impact de cette dernière.
En outre, une clause de revoyure est prévue dans le RGPD, dont la date est fixée au 25 mai 2020. Le Gouvernement et les États membres devront, avant cette date, transmettre des éléments d’évaluation à la Commission européenne. Nous souhaitons que l’Assemblée nationale soit associée à ce travail d’évaluation.
Pour ces raisons, avis défavorable.
Quel est l’avis du Gouvernement ? Le Gouvernement n’est pas favorable au fait d’inscrire dans la loi la remise de rapports au Parlement par le Gouvernement. Par ailleurs, Mme la rappporteure a rappelé à juste titre que le Parlement lui-même doit assurer sa mission de contrôle, de suivi et d’évaluation de la loi.
Quant au fond, la CNIL est en mesure de préciser, dans les rapports qu’elle rendra, la nature des actions de soutien aux PME qu’elle conduit. C’est un sujet, je l’ai souligné lors de la discussion générale, auquel nous serons très attentifs.
Pour toutes ces raisons, j’émets un avis défavorable.
(L’amendement n142 n’est pas adopté.) La parole est à Mme Paula Forteza, pour soutenir l’amendement n99. Amendement de coordination.
(L’amendement n99, accepté par le Gouvernement, est adopté.)
(L’article 1er bis, amendé, est adopté.) Il y a deux orateurs inscrits sur l’article. La parole est à M. Raphaël Schellenberger. Cet article prévoit d’élargir les compétences pour lesquelles les présidents des deux assemblées parlementaires pourraient nommer des membres de la CNIL : il s’agirait aussi de leurs connaissances dans le domaine des libertés individuelles, et pas seulement en matière de numérique.
Cette disposition me semble particulièrement importante pour enrichir une réflexion qui ne saurait être seulement technique, réduite à la connaissance des techniques numériques, des réseaux numériques, du développement numérique. C’est au contraire un débat de fond et de société qu’il faut mener, pour lequel l’importance que l’on accorde au respect des droits fondamentaux et des libertés individuelles est essentielle.
Nous serons particulièrement favorables à cet article.
La parole est à M. Jean Lassalle. J’apprécie que nous transcrivions une directive en droit français au terme d’un débat. Nous sommes loin d’avoir toujours agi ainsi, transcrivant de nombreux textes qui ont perdu nos compatriotes dans la réalité européenne. Si un débat avait été engagé à chaque fois, notamment dans le domaine de l’environnement, nous n’aurions pas autant jeté le trouble dans les esprits.
Je salue donc cette initiative, d’autant plus que la France était déjà pionnière, il y a quelques mois, par le texte qu’elle avait adopté. Je me demande cependant si l’on parvient réellement, à ce stade, à protéger l’individu. Ne sommes-nous pas encore trop éloignés de lui pour lui permettre d’échapper à ces nombreuses occasions où il est abandonné à la disposition de Facebook ou des autres, qui peuvent rester gratuits car ils se paient sur les données qu’ils reçoivent de chaque individu ?
Un deuxième texte viendra-t-il tirer toutes les conséquences des évaluations dont j’ai entendu parler, pour nous permettre d’approcher davantage l’individu à protéger ?
Nous en venons à l’examen des amendements.
La parole est à M. Philippe Gosselin, pour soutenir l’amendement n158.
Je me vois contraint ici de paraphraser François 1er : souvent député varie, bien fol est qui s’y fie… (Sourires.) C’est en effet la première fois, en dix ans, que je me retrouve à déposer un amendement pour supprimer une modification que j’ai fait adopter en commission la semaine précédente. C’est assez original, j’en conviens, mais entre-temps, j’ai poursuivi ma réflexion.
Il s’agit du champ des compétences des personnalités qualifiées qui siègent à la CNIL. Nous avons, dans un souci de perfection, tenté de lier la nécessité de disposer de compétences numériques, qui vont de soi pour des membres de la CNIL, à des compétences dans le domaine des libertés individuelles et publiques, exigence qui paraît également de bon aloi.
Mais en réalité, depuis la loi pour une République numérique et encore plus avec le présent projet de loi que nous adopterons dans les prochains jours, nous avons besoin de compétences plus larges. Il me semble qu’un philosophe, une historienne sauraient apporter un éclairage différent aux décisions de la CNIL.
À la réflexion donc, la rédaction issue de l’adoption de mon amendement en commission me semble si restrictive, en voulant bien faire, qu’elle pourrait nous priver de compétences plus larges au sein du collège de la CNIL.
Quel est l’avis de la commission ? Votre revirement nous surprend, cher collègue, car cet amendement avait été adopté par une large majorité en commission. Oui, j’en faisais partie ! Beaucoup d’amendements, déposés par des groupes différents, allaient d’ailleurs dans le même sens. Il sera donc difficile de revenir en arrière, d’autant que la compréhension des aspects techniques et de leur évolution est essentielle pour travailler sur ce sujet.
Les exigences posées par le RGPD tendent à créer ou à mettre en valeur ces nouveaux profils qui, à la frontière entre droit et informatique, sont amenés à se développer. De nouvelles formations de
Data protection officer sont même en train de se mettre en place. C’est un profil essentiel pour un écosystème du numérique qui se veut responsable et protecteur. Avis défavorable. Quel est l’avis du Gouvernement ? Monsieur le député, faire et défaire, c’est toujours travailler, proclame la sagesse du peuple ! Je m’en remettrai donc à la sagesse de l’Assemblée et à celle de M. Gosselin. La parole est à M. Philippe Latombe. Je salue ici l’honnêteté intellectuelle de Philippe Gosselin. Il travaille sur ce sujet depuis longtemps et l’argumentation qu’il développe aujourd’hui mérite que l’on s’y attarde. S’il estime sérieusement, par sa pratique, qu’il faut élargir les compétences présentes au sein de la CNIL pour que se développent des points de vue différents et qu’on échappe à une certaine uniformité parmi ses membres, cela mérite qu’on l’écoute. Nous serons favorables à son amendement. La parole est à M. Philippe Gosselin. J’ai bien conscience de la singularité de ma démarche. Encore une fois, c’est la première fois que j’agis ainsi en dix ans. La première fois est toujours de bonne foi ! En présentant l’amendement, je m’étais concentré sur le RGPD – le sujet du jour. Mais les missions de la CNIL sont plus larges que cela. D’ailleurs, une mission éthique de réflexion est menée sur le numérique, ses usages, qui dépasse largement le règlement général sur les données personnelles.
À l’heure du transhumanisme, des algorithmes, de la transformation de la société, il me semblait qu’en nous enfermant dans des compétences uniquement numériques et liées aux libertés individuelles et publiques, nous nous privions d’un regard différent, anthropologique, philosophique ou autre.
Bref je crois nécessaire que les membres de la CNIL aient des compétences plus larges et je vous soumets cette réflexion qui se fait, si vous me permettez l’expression, « en marchant » !
(Rires.) La parole est à M. Rémy Rebeyrotte. Je suggère que nous en restions à la proposition de Mme la rapporteure, puisque nous avons abouti en commission à un consensus en alliant le numérique et le juridique. Lors de l’examen au Sénat, nous pourrons recueillir l’avis de la Haute assemblée sur la question pour continuer à avancer – à « marcher ». Mais il n’est pas non plus impossible qu’elle partage notre avis. Cela vous gêne donc tant que cela d’adopter un amendement de M. Gosselin ? La parole est à Mme Cécile Untermaier. Tout en connaissant la qualité du travail de Mme la rapporteure, je trouve la proposition de M. Gosselin excellente. Nous avons travaillé, dans le passé, à ouvrir, notamment à l’université, des postes en général confisqués par les grands corps de l’État. Nous devons poursuivre dans cette voie. Nous n’avons pas besoin de nous en remettre au Sénat pour cela : nous pouvons décider, tous ensemble, de l’opportunité de prendre une telle décision. Le groupe Nouvelle Gauche votera cet amendement. (Applaudissements sur les bancs du groupe LR.) La parole est à M. Cédric Villani. Je souhaitais simplement vous faire part de mon expérience dans le cadre de la mission sur l’intelligence artificielle. J’ai constaté à quel point, au niveau du secrétariat général du Conseil national du numérique, qui épaule ma mission, il peut être utile d’avoir accès à des profils variés pour instruire certaines questions, dans un cadre où le numérique s’invite de plus en plus dans différents aspects de la société. (Applaudissements sur plusieurs bancs du groupe LR.) Bravo ! La parole est à Mme la rapporteure. Je voudrais rappeler que l’objectif de cette disposition était de s’assurer que la CNIL puisse s’appuyer sur des compétences techniques. Aujourd’hui, un seul développeur siège au sein de la CNIL, les autres membres étant des juristes. Or, il est nécessaire que le traitement et la manipulation des données soient compris.
Par ailleurs, il n’est question ici que de cinq membres de la CNIL sur dix-huit. Il me semble préférable d’en profiter pour rééquilibrer la composition de cette institution en faveur des compétences techniques qui manquent aujourd’hui, les autres membres étant issus de hautes juridictions et autres.
La parole est à M. Philippe Gosselin. Il est heureux que la CNIL dispose de compétences techniques, je le reconnais. Mais il est également important qu’y siègent des juristes du Conseil d’État ou de la Cour de cassation, mais aussi des socioprofessionnels, issus du Conseil économique et social, ou encore un membre de la CADA. La CNIL est riche aujourd’hui de cette diversité, et je regretterais que la précision apportée la semaine dernière l’enferme davantage. Vous souhaitez y voir nommer des développeurs. Notre proposition ne l’empêcherait nullement, mais elle favoriserait la variété. Je remercie d’ailleurs M. Villani de voler à mon secours : qui mieux que lui peut incarner la diversité au sein de notre hémicycle ? Je le salue ! (Applaudissements sur les bancs du groupe LR.)
(L’amendement n158 est adopté.) La parole est à M. Ugo Bernalicis, pour soutenir l’amendement n42. Nous allons avec cet amendement dans le sens inverse, puisque nous proposons que tous les membres soient désignés eu égard à leurs compétences réelles, notamment en matière numérique, et leurs connaissances dans le domaine des droits et des libertés fondamentales. C’est un alliage de ces différentes compétences qui mériterait d’être représenté au sein de la CNIL pour procéder à des évaluations concrètes et techniques.
Nous proposons qu’un décret en Conseil d’État précise les critères, avec une évaluation d’un à dix, les candidats étant auditionnés par un jury composé à parité de députés et de sénateurs, d’experts issus de la société civile, de membres d’organisations non gouvernementales et autres. Le mode de désignation serait ainsi transparent, pour éviter les conflits d’intérêts et permettre la représentation la plus large possible, sans négliger les compétences techniques.
En effet, on ne maîtrise pas ce genre de sujet en arrivant les mains dans les poches pour se former sur le tas. C’est peut-être possible ailleurs, mais pas à la CNIL.
Quel est l’avis de la commission ? Avis défavorable. La commission avait déjà rejeté cet amendement dont les dispositions semblaient disproportionnées par rapport aux règles de nomination des autres membres de la CNIL. Quel est l’avis du Gouvernement ? Avis défavorable, pour les mêmes raisons.
(L’amendement n42 n’est pas adopté.) La parole est à Mme Danièle Obono, pour soutenir l’amendement n43. Je pense que nous pouvons nous retrouver sur l’idée que la CNIL doit faire preuve de transparence vis-à-vis du grand public pour certaines de ses délibérations, non seulement pour favoriser le contrôle citoyen sur le bon fonctionnement d’une instance aussi importante pour les droits et les libertés mais aussi pour que les citoyens et les citoyennes puissent être pleinement conscients et informés de son activité.
Pour ce faire, nous proposons une expérimentation, celle de télédiffuser et de rendre accessibles au public certaines délibérations de la CNIL, que celle-ci se réunisse en formation collégiale ou restreinte.
En effet, le secret du délibéré ne vaut pas pour la CNIL, qui n’est pas une instance judiciaire, mais une autorité administrative indépendante. Les délibérations et la prise d’une juste sanction dans certains cas peuvent selon nous avoir une vertu pédagogique. Il faut s’assurer que la CNIL n’a pas la main qui tremble lorsqu’il s’agit de condamner une entreprise avec un pouvoir aussi important que celui des GAFA – Google, Amazon, Facebook, Apple – en matière de droits et de libertés.
Cet amendement est de nature à renforcer la confiance du grand public dans la capacité de cette institution à protéger les droits et les libertés. Cela participerait aussi de pédagogie en matière numérique. Je ne doute donc pas, chers collègues, que vous adopterez cet amendement.
Quel est l’avis de la commission ? Avis défavorable. Le Conseil d’État considère que la CNIL peut être assimilée à un tribunal : « Eu égard à sa nature, à sa composition et à ses attributions, la CNIL peut être qualifiée de tribunal au sens de l’article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. » De ce fait, le secret des délibérés s’impose à elle.
Les délibérations en commission restreinte ne sauraient donc être rendues publiques. Cependant, étant favorable à une certaine transparence des travaux de la CNIL, je défendrai ultérieurement un amendement allant dans ce sens.
Quel est l’avis du Gouvernement ? Je n’ajouterai pas grand-chose à ce que vient de dire Mme la rapporteure, y compris dans le teasing sur le futur amendement, que le Gouvernement soutiendra.
Pour ce qui s’attache à la délibération publique de la CNIL, j’émets un avis défavorable. Nous considérons que cet amendement porterait atteinte à la confidentialité des débats, et sans doute même à la protection de données personnelles, qui pourraient être ainsi rendues publiques.
La parole est à Mme Danièle Obono. Si nous déplorons les avis défavorables sur cet amendement, nous nous félicitons cependant qu’il ait au moins pu permettre que d’autres amendements favorisant la transparence soient déposés.
(L’amendement n43 n’est pas adopté.)
(L’article 2, amendé, est adopté.) La séance est suspendue.
(La séance, suspendue à vingt-trois heures cinq, est reprise à vingt-trois heures dix.) La séance est reprise. Je suis saisie d’un amendement, n54, portant article additionnel après l’article 2.
La parole est à M. Loïc Prud’homme, pour le soutenir.
Les données classifiées comme sensibles ou personnelles le sont pour des raisons de confidentialité d’une part, et de lutte contre les discriminations d’autre part, les deux impératifs ne s’excluant pas l’un l’autre.
Or de nombreuses données sensibles sont ainsi classifiées car elles sont habitées de significations sociales particulières et qu’elles peuvent entraîner un traitement différencié défavorable. En cela, le monde numérique est un miroir, un prolongement de notre réalité physique. Les recherches récentes montrent que les algorithmes peuvent produire ou reproduire certaines associations discriminantes.
Cet amendement vise à faire de la CNIL une force d’impulsion dans l’information et la formation, afin de lutter contre ce phénomène pouvant avoir des conséquences graves pour les individus dans leurs recherches d’emploi ou d’appartement, ou encore leur demande de crédit, alors même que les informations sont erronées. Cela vient, dans de nombreux cas, renforcer les difficultés pour des personnes se trouvant déjà, de manière structurelle, dans une situation de vulnérabilité sociale.
Parce que la France insoumise est convaincue que l’internet doit être un espace de liberté pour tous et toutes, et non d’oppression pour certains ou certaines, elle souhaite par cet amendement renforcer et encourager l’information et le conseil dans ce domaine.
Quel est l’avis de la commission ? Avis défavorable. Je partage votre préoccupation, monsieur Prud’homme, s’agissant des possibles biais discriminatoires des algorithmes, un sujet que j’étudie car il m’intéresse beaucoup.
Cependant, la CNIL fait déjà beaucoup d’efforts dans ce sens : elle travaille sur le sujet et rédige des rapports. Le contrôle social sur les algorithmes devra être assuré par plusieurs acteurs, non seulement la CNIL, mais aussi le Conservatoire numérique des arts et métiers – CNUM –, l’Institut national de recherche en informatique et en automatique – INRIA –, diverses associations et les citoyens eux-mêmes. La transparence des algorithmes est un moyen d’assurer ce contrôle, afin que chacun puisse en contrôler les modalités d’application et les effets.
Nous proposerons des amendements dans ce sens. La loi pour une République numérique, dont les décrets doivent être publiés dans les prochains mois, avait déjà introduit de nombreuses avancées.
Quel est l’avis du Gouvernement ? Avis défavorable. Cet amendement paraît satisfait par le droit en vigueur. Comme en témoigne son rapport Comment permettre à l’Homme de garder la main ? , paru en décembre 2017, la CNIL a d’ores et déjà engagé sa mission de réflexion éthique, qui comporte un volet d’information, mis en place par la loi pour une République numérique.
Ce rapport, qui porte sur les enjeux éthiques des algorithmes et sur l’intelligence artificielle, comporte des développements sur la question des biais discriminatoires et les bonnes pratiques pour les éviter. Il me semble donc, monsieur Prud’homme, que les dispositions législatives existantes répondent déjà à vos interrogations.
La parole est à M. Ugo Bernalicis. Dans la même veine que la discussion que nous venons d’avoir, nous avions déposé un amendement à un article du projet de loi d’adaptation au droit de l’Union européenne dans le domaine de la sécurité, visant à instaurer des primes pour ceux qui découvrent des failles dans un logiciel, les fameux bugs bountys . Un dispositif similaire aurait pu être imaginé ici pour faire tester les algorithmes par les citoyens.
Hélas, la majorité a déjà rejeté l’amendement en question. Il est dommage que, lorsque nous faisons des propositions intéressantes, nos amendements ne tombent jamais au bon moment. On nous oppose toujours un rapport sur le même sujet.
Il est regrettable que l’on ne puisse pas inscrire certaines dispositions dans la loi. Cela nous permettrait d’être au clair, ensemble. Je tenais à protester contre ces positions à géométrie variable.
(L’amendement n54 n’est pas adopté.) La parole est à Mme Paula Forteza, pour soutenir l’amendement n123. En réponse aux amendements du groupe La France insoumise, cet amendement vise à ce que l’ordre du jour de la CNIL soit rendu public, afin que tous les citoyens puissent en avoir connaissance. Quel est l’avis du Gouvernement ? Le Gouvernement émet un avis de sagesse sur la proposition de la rapporteure car, tout en partageant, naturellement, l’objectif visé de transparence, nous considérons que cette disposition relève du niveau réglementaire.
(L’amendement n123 est adopté.) L’amendement n98 est de précision. En effet, madame la présidente.
(L’amendement n98, accepté par le Gouvernement, est adopté.) L’amendement n100 est lui aussi rédactionnel. Tout à fait, madame la présidente.
(L’amendement n100, accepté par le Gouvernement, est adopté.)
(L’article 2 bis, amendé, est adopté.) La parole est à M. Rémy Rebeyrotte, pour soutenir l’amendement n157. Il n’a pas échappé à l’acuité de notre collègue Christine Hennion que, dans tout le texte, il était aussi bien question des sous-traitants que de ceux qui traitent directement l’information et les données. Cet amendement vise donc simplement à réparer cet oubli, ce pour quoi je remercie encore notre collègue. Quel est l’avis de la commission ? Cet amendement de précision étant bienvenu, je lui donnerai un avis favorable. La parole est à Mme la garde des sceaux. Avis favorable. Mme Hennion a fait preuve sur ce point d’une grande constance, ce qui est une qualité.
(L’amendement n157 est adopté.)
(L’article 3, amendé, est adopté.) La parole est à M. Loïc Kervran, inscrit sur l’article. Le projet de loi tend à rehausser le niveau de protection des données personnelles des citoyens ; je m’en réjouis, et je forme le vœu que, grâce à la discussion sur l’article 4, on saisisse bien la spécificité des fichiers que l’on appelle « fichiers de souveraineté », relatifs à la sûreté de l’État, à la défense et à la sécurité publique. Ces fichiers permettent de défendre les intérêts vitaux de la nation et sont à ce titre mentionnés à l’article 26 de la loi Informatique et libertés.
Commençons par remarquer que le texte européen ne s’applique pas aux traitements intéressant la sûreté de l’État et la défense. À l’intérieur de cette catégorie, les fichiers des services de renseignement sont encore plus sensibles car, contrairement à d’autres fichiers relatifs à la sécurité publique qui peuvent être destinés au partage d’informations, les fichiers des services spécialisés contiennent des informations vitales pour la nation qui doivent être protégées.
Je me permets également d’appeler votre attention, mes chers collègues, sur le fait qu’avec les contrôles de fichiers, qui donnent par nature une vision transversale, on touche à un principe central de fonctionnement et, surtout, de sécurité des services spécialisés : le cloisonnement. Parce qu’elle peut casser celui-ci, toute intervention législative dans ce champ doit être très précautionneuse.
L’accès aux fichiers des services de renseignement ne peut pas non plus être conçu du seul point de vue des niveaux d’habilitation : il convient bien plutôt de s’interroger sur le nombre de personnes qui ont besoin d’en connaître et de se demander si l’on préfère confier le contrôle à une autorité administrative spécialisée ou généraliste.
Nous nous situons dans le prolongement des débats sur les deux lois de 2015 relatives au renseignement et je comprends que l’on veuille poursuivre la discussion. Les citoyens attendent de nous l’adoption de dispositifs législatifs conciliant les impératifs de confidentialité et de protection des données personnelles. Je me réjouis donc du débat qui s’ouvre sur ces sujets.
Nous en venons aux amendements.
La parole est à M. Philippe Gosselin, pour soutenir l’amendement n153.
Nous l’avons dit à de très nombreuses reprises, les données de santé ne sont pas des données comme les autres. Nous souhaitons donc que la seconde phrase de l’alinéa 7 soit complétée afin de prévoir l’information préalable du patient, de sorte que celui-ci ait bien conscience des tenants et aboutissants du processus. Quel est l’avis de la commission ? L’amendement propose d’informer les patients avant de lever le secret médical pour permettre un contrôle de la CNIL. Nous en avons déjà parlé en commission : il nous semble que la CNIL agit dans l’intérêt des patients, puisque c’est la protection de leurs données personnelles qu’elle contrôle. Or l’obligation d’information viendrait entraver ou retarder ce contrôle. Elle ne nous semble donc rien moins qu’impérieuse.
Avis défavorable.
Quel est l’avis du Gouvernement ? Même avis.
Outre les arguments que vient de développer Mme la rapporteure, l’amendement subordonnerait les pouvoirs de contrôle de la CNIL à la possibilité d’informer réellement la personne concernée, une possibilité qui peut dans certains cas se révéler irréalisable. En témoigne l’article 14, paragraphe 5, du règlement, relatif aux dérogations aux informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée.
En outre, l’amendement donnerait lieu, en pratique, à l’information des personnes concernées sur les contrôles effectués par la CNIL, alors même que de nombreuses organisations et entreprises souhaitent que soit préservée la confidentialité des contrôles avant qu’une sanction ne soit prise.
(L’amendement n153 est retiré.) La parole est à M. Jean-Louis Masson, pour soutenir l’amendement n76. L’article 90 du RGPD permet de ne plus rendre le secret professionnel opposable aux agents des autorités de contrôle nationales. Toutefois, le projet de loi ne peut reprendre cette obligation pour en faire une spécificité française. Aussi une harmonisation des règles dans les États membres est-elle requise, notamment pour éviter que les autorités ne se transmettent des informations dans le cadre des procédures de coopération. Faute d’une telle harmonisation, la levée du secret professionnel doit être supprimée. Tel est le sens de cet amendement. Quel est l’avis de la commission ? Le droit proposé est plus protecteur des individus.
Avis défavorable.
(L’amendement n76, repoussé par le Gouvernement, n’est pas adopté.) La parole est à Mme Emmanuelle Ménard, pour soutenir l’amendement n23. L’alinéa 8 porte une sévère estocade au secret médical. Car que reste-t-il de celui-ci s’il est la règle dans le domaine de la médecine préventive, de la recherche médicale ou des diagnostics, mais que, parallèlement, il suffit qu’un médecin soit présent pour que l’on puisse le lever ? Parce que ces données médicales sont précieuses, parce qu’elles touchent à notre vie privée et même à notre intimité, que nous en sommes les seuls et légitimes détenteurs, il me paraît de bon sens de préciser que leur communication n’est possible qu’après information et accord du patient. Quel est l’avis de la commission ? Je le répète, la CNIL agira en toute confidentialité quand elle traitera ces données et prendra vraiment garde de ne pas étendre la pratique de la levée du secret médical. Il ne s’agira que d’un contrôle ponctuel, dans l’intérêt des patients.
Avis défavorable.
Quel est l’avis du Gouvernement ? Même avis.
Il nous semble que le projet de loi parvient à un équilibre pertinent entre la protection du secret médical et la possibilité de lever celui-ci sous l’autorité et en présence d’un médecin dans le cadre des opérations de vérification menées par la CNIL concernant les traitements nécessaires aux fins de médecine préventive, de recherche médicale, de diagnostics médicaux, d’administration de soins ou de gestion des services de santé.
La possibilité de lever le secret médical nous semble très importante afin d’assurer l’effectivité des contrôles de la CNIL. Ainsi que l’a rappelé le Conseil d’État dans son avis, une garantie est apportée dans la mesure où « l’agent menant le contrôle sera placé sous la responsabilité fonctionnelle du médecin, qui ne réalisera pas nécessairement lui-même les opérations informatiques mais adressera toutes les instructions nécessaires à l’agent pour que ne soit pas violé le secret médical ». La CNIL pourra par conséquent, me semble-t-il, s’assurer du respect de la loi et du règlement lorsque les traitements contiennent des données de santé.
(L’amendement n23 n’est pas adopté.) Je suis saisie de deux amendements, nos 24 et 162, pouvant être soumis à une discussion commune.
La parole est à Mme Emmanuelle Ménard, pour soutenir l’amendement n24.
Cet amendement s’inscrit dans le droit-fil de celui que je viens de défendre. Je ne m’attends donc pas à ce qu’il reçoive un avis favorable, mais je vais tout de même le présenter.
Les informations relatives à l’état de santé physique et psychique d’un patient sont considérées par la loi comme des données sensibles ; cela tombe sous le sens, tant elles sont personnelles.
Pour les protéger, leur traitement est soumis à des conditions particulières, définies par la loi Informatique et libertés et par le code de la santé publique. Ce dernier dispose très précisément que « toute personne prise en charge par un professionnel [ou] un établissement [de santé] a droit au respect de sa vie privée et du secret des informations la concernant ». Les professionnels de santé et ceux qui interviennent dans le système de santé sont soumis au secret médical, comme pour sanctuariser des informations qui comptent parmi les plus intimes concernant une personne. La protection de ces données est censée être si fondamentale que les négligences en la matière sont considérées comme des atteintes graves à l’exigence de protection de la vie privée des personnes et que leurs auteurs encourent des sanctions pénales allant jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende, la violation du secret médical étant quant à elle punie d’un an de prison et de 15 000 euros d’amende.
C’est dire combien la question mérite notre attention. À l’heure du tout numérique, tout va très vite et tout peut aussi nous échapper très vite. Il convient donc de faire preuve d’une très grande vigilance en matière de données médicales et de permettre aux patients de garder le contrôle de ces informations.
Voilà pourquoi il me semble important de préciser que le secret médical ne peut être levé qu’à condition qu’un médecin soit présent, bien sûr, mais aussi et surtout que la personne concernée ait exprimé son consentement.
La parole est à Mme Constance Le Grip, pour soutenir l’amendement n162. Il est défendu. Quel est l’avis de la commission sur ces deux amendements ? Défavorable, pour les raisons que j’ai précédemment exposées. Quel est l’avis du Gouvernement ? Même avis, pour les mêmes raisons. La parole est à M. Laurent Furst. Madame la ministre, le secret médical est la pierre angulaire de notre système de santé. La relation entre le médecin et son patient est une relation de confiance construite sur ce fondement. La levée du secret médical est donc un événement important qui modifie l’organisation de notre système de santé : elle n’a rien d’anodin. Or nous passons peut-être un peu rapidement sur ce point.
Le secret médical, c’est le lien entre un patient et son médecin ou praticien. Le fait d’introduire un autre praticien dans cette relation constitue une rupture du secret médical, même si ce praticien est lui-même médecin. J’appelle simplement votre attention sur les conséquences potentielles de cette situation. Je le répète, ce n’est pas anodin du tout.
La parole est à Mme la rapporteure. Des fuites massives touchant des fichiers tenus par des médecins auraient des effets aussi graves, voire plus graves, que cette atteinte au secret médical, très précise et circonscrite et qui a justement pour but de garantir la sécurité des systèmes concernés. Il nous semble donc vraiment qu’elle est un moindre mal par rapport au risque que représenterait l’évitement de tout contrôle de la CNIL. La parole est à M. Raphaël Schellenberger. Je suis un peu surpris de votre réponse, madame la rapporteure. Vous justifiez le fait de rompre avec une tradition en droit français en matière d’organisation de la santé par le risque éventuel que les données soient un jour piratées et rendues librement disponibles sur l’internet. Mais notre travail de législateur et le rôle de l’État consistent à protéger les personnes de ce risque, non à instaurer des règles qui le minimisent en créant une faille dans le système juridique ! Vous mettez à mal une certaine conception du secret médical en invoquant le risque que des fichiers tombent malencontreusement entre telles ou telles mains. En raisonnant ainsi, on peut aussi mettre à disposition des codes touchant la sécurité intérieure pour éviter qu’un jour le système informatique de l’État soit piraté ! Je ne comprends pas du tout votre logique. La parole est à M. Laurent Furst. Madame la rapporteure, personne ne met en doute la sincérité de vos propos. Elle ne fait pas débat. Simplement, on institutionnalise ici une modification affectant la pierre angulaire du fonctionnement de notre système de santé. C’est très important ; ce n’est pas du tout anodin. Je comprends parfaitement la justification que vous en donnez, je la crois sincère, pertinente et fondée sur des éléments réels. Néanmoins, nous sommes en train de modifier un élément important dans notre société. La parole est à Mme la garde des sceaux. Ce débat est, à mon sens, extrêmement sérieux. Vous avez d’ailleurs utilisé, monsieur le député, l’expression de « pierre angulaire » à propos du secret médical, ce qui fait montre d’un souci, tout à fait légitime, que nous partageons. Actuellement déjà, un médecin peut exercer un contrôle pour la CNIL. Ce qui est prévu, dans le nouveau système, c’est qu’un agent de la CNIL, sous le contrôle d’un médecin, fera ce qui est nécessaire. L’avis du Conseil d’État montre que toutes les garanties ont été prises. Sans vouloir nier la sensibilité du problème que vous soulevez, il me semble que les équilibres ont été respectés et les garanties prises. Cela devrait nous rassurer sur ce sujet.
(Les amendements nos 24 et 162, successivement mis aux voix, ne sont pas adoptés.) La parole est à M. Jean-Louis Masson, pour soutenir l’amendement n77. L’article 4 reconnaît aux agents de la CNIL la possibilité d’intervenir sous une identité d’emprunt pour faciliter les contrôles de services de communication au public en ligne. Or cette faculté semble excessive et n’est pas de nature à favoriser la transparence et les échanges avec les autorités. Il convient, dès lors, de circonscrire cette faculté aux seuls cas où l’établissement de la preuve d’un manquement en dépend et que celle-ci ne peut être établie autrement. C’est pourquoi je vous suggère de compléter en ce sens la première phrase de l’alinéa 10. Quel est l’avis de la commission ? Cette garantie ne nous semble pas nécessaire. La CNIL ne l’a d’ailleurs pas demandé lors des auditions. Avis défavorable. Quel est l’avis du Gouvernement ? La loi du 17 mars 2014 relative à la consommation a modifié l’article 44 de la loi de 1978, afin de permettre, en plus des contrôles sur place et sur convocation, des contrôles en ligne. Ceux-ci sont très utiles et c’est pourquoi ils sont sans doute appelés à se multiplier. Toutefois, lorsque la CNIL utilise une adresse électronique du type «  @cnil.fr  » pour exercer des droits, le responsable de traitement peut modifier son traitement uniquement pour les besoins du contrôle.
Il s’agit de prévoir l’utilisation par les agents de contrôle d’une identité d’emprunt, en leur permettant de créer une fausse identité d’utilisateur lambda pour exercer un contrôle effectif. Il est précisé que l’utilisation d’une identité d’emprunt est sans incidence sur la régularité des constatations effectuées, afin de prémunir les contrôles contre le risque de contestations qui seraient fondées sur la violation du principe de loyauté dans la collecte des preuves. Comme l’admet le Conseil d’État dans son avis, cette mesure est de nature à renforcer l’efficacité des contrôles en ligne.
Actuellement, l’Autorité des marchés financiers dispose d’une telle possibilité. En pratique, lorsque les agents de la CNIL opèrent des contrôles sur les services de communication en ligne, ils ne peuvent déterminer
a priori si l’usage de ce procédé est le seul et unique moyen pour établir la preuve du manquement. Il n’y a donc pas lieu, à mon sens, de circonscrire une mesure qui existe déjà par ailleurs. Avis défavorable. La parole est à M. Jean-Louis Masson. Madame la rapporteure, ce n’est pas parce que la CNIL n’a pas demandé cette garantie lors les auditions que cela vous offre un argument pour ne pas accepter la modification que je vous suggère. Le législateur, ce n’est pas la CNIL ! C’est nous, au sein de cet hémicycle ! Il a raison ! Très juste !
(L’amendement n77 n’est pas adopté.) Je suis saisie de deux amendements identiques, nos 78 et 161.
La parole est à M. Jean-Louis Masson, pour soutenir l’amendement n78.