- Texte visé : Texte de la commission sur le projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la lutte contre les fraudes sociales et fiscales (n°2115)., n° 2250-A0 rectifié
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
I. – A la fin de l’alinéa 12, supprimer les mots :
« ou par tout autre acteur privé ».
II. – En conséquence, à la fin de l’alinéa 36, supprimer les mots :
« ou par tout autre acteur privé ».
III. – En conséquence à la fin de l’alinéa 67, supprimer les mots :
« ou par tout autre acteur privé ».
Le présent amendement vise à supprimer un ajout adopté par la commission des affaires sociales concernant l’obligation de stockage de l’hébergement des données traitées par les organismes d’assurance complémentaire sein de l’Union européenne.
Ce stockage doit être réalisé, à l’instar de ce qui a été prévu dans la loi dite SREN pour les données sensibles détenues par les administrations, dans des conditions garantissant notamment la protection des données contre tout accès par des autorités publiques d’États tiers non autorisé par le droit de l’Union européenne ou d’un État membre. L’amendement adopté en commission ajoute que ce stockage doit également protéger contre tout accès « de tout autre acteur privé ».
Cet objectif est cependant déjà satisfait par d’autres dispositions du texte (aux projets d’articles L. 135‑3 du code des assurances, L. 211‑18 du code de la mutualité et L. 931‑3-11 du code de la sécurité sociale) qui prévoient, conformément à l’article 32 du RGPD, l’obligation de mettre en œuvre des mesures de sécurité adaptées au risque, dont des mesures garantissant la confidentialité vis-à-vis de tout tiers des données traitées par les organismes complémentaires.
Il importe en revanche de maintenir des dispositions spécifiques relatives à la protection contre les accès des autorités publiques d’États tiers, qui reprennent la rédaction de l’article 48 du RGPD, tel qu’interprété par la Cour de justice de l’Union européenne et des autorités européennes de protection des données. Il s’agit en effet de se prémunir des législations extra-territoriales d’États tiers, comme des États-Unis, de la Russie ou de la Chine par exemple, qui peuvent exiger des entreprises exerçant des activités en Union européenne mais ayant leur siège dans leur propre ressort territorial, de transférer des données aux autorités publiques compétentes en matière judiciaire ou de lutte anti-terroriste par exemple. Aucune législation d’un État tiers ne prévoit en revanche un tel accès au bénéfice d’acteurs privés.
Dans ce contexte, l’ajout d’accès par des acteurs privés, déjà couvert par d’autres dispositions, rend la disposition relative à la localisation des données peu intelligible et étend de manière inutile son objet.