- Texte visé : Proposition de loi visant à améliorer la protection des commerçants grâce à l’usage d’outils numériques, n° 1142
- Stade de lecture : 1ère lecture (1ère assemblée saisie)
- Examiné par : Commission des lois constitutionnelles, de la législation et de l'administration générale de la République
Compléter cet article par les cinq alinéas suivants :
« Les données à caractère personnel issues des traitements mis en œuvre en application du présent article sont exclusivement stockées, hébergées et traitées en France, au moyen de systèmes d’information internes placés sous le contrôle direct, permanent et effectif du responsable du traitement.
« Par dérogation, le recours à un prestataire tiers pour l’hébergement ou le traitement de tout ou partie de ces données ne peut être autorisé qu’à titre exceptionnel, lorsqu’il est strictement indispensable pour prévenir un risque grave et imminent d’atteinte à la sécurité des systèmes d’information ou pour assurer la continuité du service, et à condition qu’aucune solution interne ne permette d’atteindre un niveau de sécurité équivalent.
« Dans ce cas, le prestataire ne peut agir que sur instruction documentée du responsable du traitement, sans accès autonome aux données, lesquelles demeurent placées sous le contrôle exclusif de ce dernier.
« Tout transfert, direct ou indirect, de ces données vers un État non membre de l’Union européenne est interdit.
« Les conditions d’application du présent alinéa sont précisées par décret en Conseil d’État pris après avis public et motivé de la Commission nationale de l’informatique et des libertés. »
Le présent amendement vise à sécuriser le régime de protection applicable aux données issues des technologies de vidéosurveillance algorithmique, compte tenu de la sensibilité particulière de ces traitements et des risques élevés qu’ils font peser sur le droit au respect de la vie privée.
Le principe d’un stockage, d’un hébergement et d’un traitement exclusivement internes garantit une maîtrise complète de la chaîne de traitement, une traçabilité intégrale des accès et une responsabilisation accrue des responsables de traitement, réduisant ainsi significativement les risques de fuite, de détournement ou d’usage abusif des données.
L’ouverture d’une dérogation strictement exceptionnelle, limitée aux seules hypothèses de risque grave et imminent pour la sécurité des systèmes d’information ou la continuité du service, permet de préserver tant la constitutionnalité que la conventionnalité du dispositif et de concilier la nécessité d’une protection accrue de ces données à l’opérabilité du déploiement de ces technologies.