— 1 —

La réunion débute à 21 heures 10.

Présidence de Mme Yaël Braun-Pivet, Présidente.

La Commission poursuit l’examen des articles du projet de loi relatif à la protection des données personnelles (n° 490).

Mme la présidente Yaël Braun-Pivet. Mes chers collègues, nous poursuivons à l’article 6 l’examen des articles du projet de loi relatif à la protection des données personnelles, entamé lors de notre réunion d’hier soir.

Article 6 (art. 45 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Mesures correctrices et sanctions

La Commission adopte successivement les amendements de cohérence CL119 et CL120 de la rapporteure, l’amendement CL261 du Gouvernement et l’amendement de précision CL121 de la rapporteure.

Elle est saisie de l’amendement CL82 de Mme Constance Le Grip, qui fait l’objet du sous-amendement CL263 de la rapporteure.

Mme Constance Le Grip. Les règles d’entreprise contraignantes – ou Binding Corporate Rules (BCR) – sont un instrument juridique européen qui définit les modalités de protection des données transférées au sein d’une même entreprise ou d’un même groupe. Elles sont élaborées de façon vigilante et en étroite concertation avec la Commission nationale de l’informatique et des libertés (CNIL).

Le retrait de la décision d’approbation par la CNIL d’une BCR est un acte administratif lourd de conséquences pour une entreprise. Je suggère donc de substituer aux mots « le retrait » les mots « la suspension partielle ».

Mme Paula Forteza, rapporteure. J’y suis favorable, sous réserve que soit adopté mon sous-amendement précisant que la suspension peut être partielle ou totale.

Mme Christine Hennion. Les BCR concernent les transferts internationaux de données. Une suspension partielle signifierait qu’au sein d’une même entreprise, certaines filiales ne seraient plus concernées par ces règles, ce qui n’a pas de sens par rapport à la responsabilité de la maison-mère. Il convient de prendre garde à un tel amendement, même sous-amendé.

La Commission adopte successivement le sous-amendement CL263, puis l’amendement CL82 ainsi sous-amendé.

La Commission adopte successivement les amendements de cohérence CL122 et CL123, l’amendement de précision CL124, l’amendement de cohérence CL127, les amendements rédactionnels CL128 et CL129, l’amendement de coordination CL254, l’amendement de cohérence CL130, l’amendement de précision CL131 et l’amendement rédactionnel CL132 de la rapporteure.

Elle adopte ensuite l’article 6 modifié.

Chapitre II
Dispositions relatives à certaines catégories de données

Article 7 (art. 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Traitement des données « sensibles »

La Commission adopte l’amendement de précision CL133 de la rapporteure.

Puis elle examine l’amendement CL260 du Gouvernement.

Mme Nicole Belloubet, garde des Sceaux, ministre de la justice. Cet amendement a pour objet de compléter l’article 8 de la loi du 6 janvier 1978 afin d’autoriser la réutilisation des données sensibles dans le cadre de la mise à disposition du public à titre gratuit des décisions de justice.

L’open data des décisions de justice, introduit par la loi du 7 octobre 2016 pour une République numérique, ouvre de puissantes perspectives d’évolution dans la façon dont la justice est rendue en permettant d’améliorer la qualité des pratiques juridictionnelles par l’analyse des décisions de justice et de renforcer la connaissance de l’ensemble de la jurisprudence.

L’open data se trouve à la confluence de principes fondamentaux, tels que la publicité et la transparence de la justice, le respect de la vie privée des justiciables et des professionnels de la justice et, surtout, la protection des données à caractère personnel.

Le rapport de la mission d’étude et de préfiguration sur l’ouverture au public des décisions de justice, présidée par le professeur Cadiet, m’a été remis le 9 janvier. Il recommande une modification de la loi informatique et libertés pour la mise en œuvre de l’open data des décisions de justice.

La recommandation n° 17 du rapport préconise de modifier les dispositions de l’article 9 de la loi du 6 janvier 1978 afin de permettre la réutilisation des données de nature pénale contenues dans les décisions de justice diffusées dans le cadre de l’open data. Il s’agit notamment de permettre à des entreprises du secteur de la technologie juridique, les Legal tech, qui proposent des logiciels de services juridiques, de pouvoir traiter des données pénales contenues dans les décisions de justice, à des fins commerciales.

Cette recommandation est traduite dans le projet de loi : la réutilisation de telles données figurant dans les décisions de justice est autorisée à l’article 11. Une garantie supplémentaire a été ajoutée : la réutilisation des données ne peut avoir pour objet ou pour effet la réidentification des personnes concernées.

Le rapport préconise également une modification de l’article 8 de la loi de 1978 afin de prévoir que l’interdiction de traitement de données sensibles ne s’applique pas à la réutilisation des décisions de justice diffusées dans le cadre de l’open data, à condition, également, que ces traitements n’aient ni pour objet ni pour effet la réidentification des personnes concernées. Cette recommandation figure également dans l’avis de la CNIL sur le projet de loi, émis le 30 novembre.

Je précise qu’un décret d’application est en cours de préparation, de manière à préciser les modalités de la mise à disposition des décisions, et notamment les garanties en matière de prévention du risque de réidentification des personnes.

Mme la rapporteure. L’open data est essentiel dans la perspective de la création de nouveaux biens et de nouveaux services ainsi que la mise en œuvre d’un contrôle citoyen effectif, à la condition, évidemment, que ces données soient anonymisées. Avis favorable.

La Commission adopte l’amendement CL260.

Elle adopte successivement les amendements de précision CL255 et CL134 et l’amendement rédactionnel CL135 de la rapporteure.

Elle adopte ensuite l’article 7 modifié.

TITRE II

MARGES DE MANŒUVRE PERMISES PAR LE RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE

Chapitre Ier
Champ d’application territorial des dispositions complétant le règlement (UE) 2016/679

Article 8 (art. 5-1 [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Champ d’application de la loi nationale en cas de divergence de législations entre États ayant utilisé une marge de manœuvre laissée par le règlement

La Commission adopte l’article 8 sans modification.

Chapitre II
Dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements

Article 9 (art. 22, 24, 25 et 27 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Suppression des formalités préalables, sauf pour certains traitements de données personnelles particulièrement sensibles

La Commission adopte successivement les amendements rédactionnels CL136, CL137, CL138, CL139 et CL140, l’amendement de clarification CL226 et l’amendement CL207 tendant à corriger une omission, tous de la rapporteure.

Puis elle adopte l’article 9 modifié.

Chapitre III
Obligations incombant aux responsables de traitements et sous-traitants

Article 10 (art. 35 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Extension du champ des obligations applicables aux sous-traitants de responsables de traitements de données à caractère personnel

La Commission examine l’amendement CL227 de la rapporteure.

Mme la rapporteure. Cet amendement de clarification porte sur les obligations applicables aux sous-traitants.

La Commission adopte l’amendement. L’article 10 est ainsi rédigé.

Chapitre IV
Dispositions relatives à certaines catégories particulières de traitement

Article 11 (art. 9 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Traitements de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes

La Commission examine l’amendement CL228 de la rapporteure.

Mme la rapporteure. Cet amendement vise à préciser que l’avis de la CNIL sur le projet de décret qui fixera la liste des personnes collaborant au service public de la justice habilitées à traiter les données pénales devra être motivé et publié.

La Commission adopte l’amendement.

Elle en vient à l’amendement CL87 de Mme Constance Le Grip.

Mme Constance Le Grip. Cet amendement vise à permettre aux entreprises de se conformer aux différentes obligations légales auxquelles elles sont soumises, au-delà de la problématique liée à la protection des données personnelles.

Mme la rapporteure. Vous prévoyez que des organismes privés seraient autorisés à traiter des données pénales sans que leur soient appliquées les garanties appropriées et suffisantes exigées par le règlement européen et le Conseil constitutionnel, compte tenu de la sensibilité particulière de ces données. Avis défavorable.

La Commission rejette l’amendement.

Elle adopte l’amendement de précision CL141 de la rapporteure.

Puis elle adopte l’article 11 modifié.

Article 12 (art. 36 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Traitement de données à des fins archivistiques

La Commission adopte l’article 12 sans modification.

Article 13 (Chapitre IX de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Traitements des données à caractère personnel dans le domaine de la santé

La Commission adopte successivement les amendements de cohérence CL142 et CL143, l’amendement rédactionnel CL144, l’amendement de cohérence CL208, les amendements de précision CL145, CL146 et CL147 et l’amendement de coordination CL258 de la rapporteure.

Puis elle examine l’amendement CL257 de la rapporteure.

Mme la garde des Sceaux. Le Gouvernement est défavorable à cet amendement.

D’une part, l’exposé sommaire évoque le consentement, alors que l’alinéa que l’amendement vise à supprimer porte sur l’information.

D’autre part, l’information sur le traitement des données est de nature à porter à la connaissance du patient la pathologie dont il est atteint, en contradiction avec le droit pour la personne de rester dans l’ignorance prévu à l’article L. 1112-2 du code de la santé publique, dès lors que l’on précise la finalité du traitement.

Cet alinéa constitue une précision qu’il convient de conserver.

Mme la rapporteure. La personne a le droit d’être informée et de dire si elle donne son consentement, même si elle a par ailleurs exprimé qu’elle souhaitait rester dans l’ignorance et ne pas avoir connaissance de la cause de sa pathologie. Je retire cet amendement, afin de pouvoir en modifier la rédaction d’ici l’examen en séance publique.

L’amendement est retiré.

La Commission adopte successivement l’amendement rédactionnel CL149, l’amendement de précision CL265, l’amendement de coordination CL256 et l’amendement de cohérence CL150 de la rapporteure.

Puis elle adopte l’article 13 modifié.

Après l’article 13

La Commission est saisie de l’amendement CL12 de Mme Blandine Brocard.

M. Éric Bothorel. Cet amendement vise à définir la manière selon laquelle un consentement au traitement des données personnelles peut être obtenu et à empêcher les contournements de l’actuelle législation par les responsables de traitement.

Introduite par l’article 22 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique, la définition du consentement doit être précisée car elle fait l’objet de nombreux abus et de contournements. Le consentement peut ainsi être extorqué de manière déloyale en masquant la possibilité de le refuser ou en recourant à différentes formulations ou artifices techniques.

L’amendement vise à intégrer la définition du consentement donnée par la CNIL et le G29 : il doit être sans ambiguïté et donné librement ; le refus de consentement ne doit pas empêcher l’accès à un service si celui-ci ne nécessite pas de consentement.

Mme la rapporteure. Les principes du consentement sont bien définis au niveau européen dans le Règlement général sur la protection des données (RGPD), qui sera d’application directe à compter du 25 mai prochain. Il appartiendra au Gouvernement, par voie d’ordonnance, de procéder à cette recodification. Nous pourrons voir s’il est nécessaire d’apporter des précisions d’ici l’examen du texte en séance publique, mais pour l’heure, je vous prie de bien vouloir retirer l’amendement.

M. Éric Bothorel. Par esprit constructif, et compte tenu de la proposition de la rapporteure, je retire l’amendement.

L’amendement CL12 est retiré.

Chapitre V
Dispositions particulières relatives aux droits des personnes concernées

Avant l’article 14

La Commission est saisie de l’amendement CL234 de la rapporteure.

Mme la rappporteure. La question de l’âge du consentement des mineurs a été longuement abordée lors de la discussion générale. Cet amendement vise à l’abaisser à 15 ans, âge où le mineur entre généralement au lycée et où sa maturité lui permet en principe de maîtriser les usages sur internet. Cela permettrait en outre d’homogénéiser les textes, puisque le même âge constitue le seuil de consentement en matière de sexualité ou d’opposition à l’accès des parents aux données de santé du mineur.

M. Rémy Rebeyrotte. Il existe un certain consensus des groupes sur cet âge, qui correspond au moment où l’on quitte la puberté et l’adolescence pour entrer, comme jeune adulte, dans une autre phase de construction. Mme la ministre l’a rappelé hier, d’autres débats mettent en avant cet âge, reconnu comme celui d’une certaine forme de maturité avant la majorité : il aurait semblé pour le moins étonnant que la maturité reconnue du mineur dans le domaine sexuel survienne avant sa maturité numérique supposée !

Nous avons auditionné de nombreux acteurs, des associations qui défendent la place de l’enfance dans le numérique comme des grands groupes du numérique. Ainsi que l’a souligné le représentant d’un opérateur, l’âge de 15 ans présente l’avantage d’être plus distinct, car plus éloigné que celui de 16 ans, de la majorité. Il nous a semblé que la fixation du seuil à 15 ans pourrait satisfaire la plupart d’entre nous.

Mme Christine Hennion. Comme je l’ai souligné dans mon rapport, les usages ont beaucoup évolué et les enfants accèdent à un âge bien plus jeune aux réseaux sociaux . D’autre part, les plateformes et les entreprises ne seront pas capables de vérifier si les personnes qui s’inscrivent à leur service ont l’âge requis et, a fortiori, si les parents ont donné leur accord éclairé.

Je propose que nous discutions à nouveau de ce sujet dans l’hémicycle et déposerai à cet effet un amendement visant à abaisser à 13 ans l’âge de consentement, ainsi que le permet le règlement européen.

Mme la garde des Sceaux. Sans reprendre l’argumentaire que j’ai développé hier, je veux dire à M. Rebeyrotte que l’âge de la maturité sexuelle a peu à voir avec l’âge de la maturité numérique ! J’entends toutefois le souci de cohérence qui motive cet amendement et m’en remets à votre sagesse.

La Commission adopte l’amendement.

L’article 14 A est ainsi rédigé.

Article 14 (art. 10 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Décisions administratives automatisées

La Commission examine l’amendement CL235 de la rapporteure.

Mme la rapporteure. Cet amendement vise à clarifier les exceptions au droit de s’opposer au profilage et les garanties minimales applicables dans ces cas-là.

La Commission adopte l’amendement.

Puis elle adopte l’amendement de précision CL237 de la rapporteure.

Elle adopte ensuite l’article 14 modifié.

Article 15 (III [nouveau] de l’art. 40 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Limitation du droit à la communication d’une violation de données

La Commission adopte l’amendement rédactionnel CL210 de la rapporteure.

Puis elle adopte l’article 15 modifié.

Chapitre VI
Voies de recours

Avant l’article 16

La Commission est saisie de l’amendement CL262 de la rapporteure.

Mme la rapporteure. La loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle a élargi aux discriminations, à l’environnement et aux données à caractère personnel le champ des actions de groupe, introduites par la loi du 17 mars 2014 relative à la consommation.

Le présent amendement, décisif, vise à introduire la possibilité d’exercer une action de groupe tendant à la réparation des préjudices subis en raison d’un manquement aux dispositions de la loi du 6 janvier 1978.

L’action de groupe est un outil qui permettra à l’ensemble du texte de s’appliquer, puisque les citoyens disposeront de cette voie de recours pour obtenir réparation des préjudices matériels et moraux subis en cas de violation de leurs données personnelles. Il est en effet très compliqué pour un individu isolé d’ester en justice dans ce domaine, en raison de la technicité du sujet et de la complexité des démarches. Il est nécessaire que des associations puissent soutenir les personnes concernées et défendent leur intérêt.

M. Guillaume Vuilletet. Notre objectif est de convaincre les citoyens qu’ils peuvent être défendus face à une technologie, un monde qui leur paraît parfois très abscons et fort lointain.

M. Rémy Rebeyrotte. Cet amendement constitue un progrès significatif par rapport au texte initial.

Mme Christine Hennion. Cela me semble d’autant plus nécessaire que ce droit existe déjà dans d’autres pays européens. Dans la mesure où un Français peut bénéficier d’une action de groupe intentée dans un autre pays, il serait illogique qu’il ne dispose pas de ce droit en France.

La Commission adopte l’amendement.

Puis elle examine l’amendement CL70 de M. Éric Bothorel.

M. Éric Bothorel. Dans sa délibération du 30 novembre 2017 sur le présent projet de loi, la CNIL a explicitement regretté l’absence de droit à réparation et préconisé d’élargir les objectifs de l’actuelle action de groupe en donnant la possibilité aux citoyens de demander réparation de leur préjudice. Tel est l’objet de mon amendement CL70. Néanmoins, je le retire car il est très proche du CL262 tout juste adopté.

L’amendement est retiré.

Chapitre VI
Voies de recours

Article 16 (art. 43 quater [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Introduction d’une action de groupe avec mandat

La Commission adopte successivement les amendements rédactionnels CL211 et CL218 de la rapporteure.

Elle adopte ensuite l’article 16 modifié.

Article 17 (art. 43 quinquies [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Nouvelle voie de recours en cas de transferts internationaux de données

La Commission adopte successivement l’amendement rédactionnel CL212, l’amendement de précision CL229 et l’amendement rédactionnel CL219.

Puis elle adopte l’article 17 modifié.

Après l’article 17

La Commission examine l’amendement CL69 de M. Éric Bothorel.

M. Éric Bothorel. Conformément à l’esprit qui anime le Règlement général sur la protection des données (RGPD), cet amendement vise à ce que, lorsque l’on commence à utiliser son smartphone, sa tablette ou son ordinateur personnel, on ne choisisse pas seulement des paramètres tels que le fuseau horaire ou autres, mais aussi son moteur de recherche, c’est-à-dire son mode d’accès à internet. On pourra ainsi sélectionner, parmi les logiciels disponibles, celui qui servira à naviguer sur internet et à faire des recherches.

Cet amendement ne revient pas à édicter une interdiction, mais au contraire à faire prévaloir la liberté, puisqu’il renforce le consentement et la bonne information des utilisateurs. Ils pourront comparer les performances des logiciels, ce qu’ils offrent, notamment en matière de protection et d’utilisation des données, et même le mode de fonctionnement de l’algorithme. L’utilisateur est aujourd’hui confronté à des outils pré-installés et il se voit plus ou moins imposer son choix : grâce à cet amendement, il aura une liberté plus grande.

On pourra certes choisir les outils les plus connus, si on le souhaite, mais les différents acteurs entreront dans une saine compétition. Comme ils seront tous entièrement conformes au RGPD, je n’en doute pas, d’autres éléments seront peut-être mis en avant afin d’inciter l’utilisateur.

Mme la rapporteure. J’adhère au principe et à la logique de l’amendement. Néanmoins, tel qu’il est rédigé, il ne me paraît pas avoir sa place dans ce texte, mais plutôt dans le cadre des futures discussions sur l’ePrivacy au niveau européen. Nous pourrions toutefois essayer de rattacher ce que vous proposez à la notion de consentement libre : pour qu’il existe, il faut avoir des alternatives. Je vous propose d’y travailler d’ici à la séance, mais je suis désireuse de connaître l’avis de la garde des Sceaux au préalable.

Mme la garde des Sceaux. Je partage votre avis : c’est une vraie question, qui mérite d’être traitée, et j’accepte volontiers que l’on retravaille la rédaction de l’article.

Mme Christine Hennion. Je voudrais par ailleurs souligner que cela reviendrait à appliquer le principe de privacy by default.

M. Éric Bothorel. On peut discuter de l’endroit où insérer l’amendement, mais je pense que ce projet de loi est le bon vecteur pour avoir un débat. Une de ses principales vertus sera peut-être d’influer sur la réflexion au niveau européen – elle ne doit pas être uniquement française. J’accepte volontiers la proposition de travailler à une autre rédaction de l’amendement : je le retire donc pour en déposer une version 2.0 en séance. (Sourires).

Mme Constance Le Grip. J’adhère, moi aussi, à l’esprit qui est celui de l’amendement. Je conçois que l’on puisse s’interroger sur l’articulation avec le projet de loi, mais il serait préjudiciable d’attendre un texte européen sur l’ePrivacy, car les discussions sont loin d’être finies à ce niveau. Nous devons faire passer nos messages dès maintenant. J’apporte mon soutien à l’amendement : quitte à le réécrire un peu, il est important de l’insérer dans le texte.

L’amendement est retiré.

TITRE III
DISPOSITIONS PORTANT TRANSPOSITION DE LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIVE À LA PROTECTION DES PERSONNES PHYSIQUES A L’ÉGARD DU TRAITEMENT DES DONNÉES A CARACTERE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D’ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D’EXECUTION DE SANCTIONS PÉNALES, ET À LA LIBRE CIRCULATION DE CES DONNÉES

Article 18 (art. 32, 41 et 42 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Création d’un droit d’information de la personne et suppression du caractère indirect des droits d’accès, de rectification, d’effacement et de limitation pour les fichiers de police et de justice

La Commission adopte successivement l’amendement rédactionnel CL151 et l’amendement de précision CL152 de la rapporteure.

Puis elle adopte l’article 18 modifié.

Article 19 (art. 70-1 à 70-27 [nouveaux] de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Dispositions applicables aux fichiers de police et de justice

La Commission examine l’amendement CL41 de Mme Danièle Obono.

Mme Danièle Obono. Pour notre groupe, l’article 19 est l’un des plus problématiques de ce projet de loi, car il permet la généralisation des fichiers en matière pénale, « à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». De tels fichiers ne devront plus nécessairement être autorisés par arrêté ministériel, comme le prévoit aujourd’hui l’article 26 de la loi du 6 janvier 1978.

A l’instar de la CNIL, qui l’a souligné dans sa délibération du 30 novembre 2017, il nous semble impératif de promouvoir une logique de renforcement du droit commun, plutôt que de démantèlement et de facilitation. La CNIL a relevé que « le projet de loi ne prévoit aucune disposition concernant le droit d’opposition des personnes concernées, qui doit pouvoir, y compris en ces matières, trouver à s’appliquer dans des circonstances particulières, comme par exemple dans le cadre du traitement de données relatives à des personnes victimes dans le Traitement des antécédents judiciaires (TAJ) ».

C’est pourquoi notre amendement tend à supprimer l’article 19.

Mme la rapporteure. La transposition de la directive renforce, au contraire, l’encadrement des règles applicables aux fichiers de police et de justice. Parmi les progrès réalisés, on peut citer la création d’un droit d’information de la personne, l’exercice en principe direct des droits d’information, d’accès, de rectification, d’effacement et de limitation des données, l’élargissement du champ des obligations à la charge des responsables de traitements et des sous-traitants, ou encore l’amélioration de l’encadrement des transferts internationaux de données. Par conséquent, je donne un avis défavorable.

La Commission rejette l’amendement.

Elle adopte ensuite l’amendement rédactionnel CL153 de la rapporteure.

Puis elle en vient à l’amendement CL49 de Mme Danièle Obono.

Mme Danièle Obono. Notre amendement vise à renforcer la protection des droits et la proportionnalité de la réponse étatique. Pour être considérés comme licites, il nous semble que des traitements de données tels que les fichiers pénaux ne doivent pas être seulement « nécessaires », mais « strictement nécessaires » – il s’agit d’éviter les abus.

Mme la rapporteure. J’émets un avis favorable, à condition que la première partie de l’amendement soit supprimée puisque la précision que vous souhaitez ajouter n’est pas prévue par la directive. La deuxième partie, relative à la proportionnalité de la durée des conservations des données, reprend des principes du RGPD, mais cette précision est néanmoins bienvenue.

Mme la garde des Sceaux. Je suis du même avis : l’adverbe « strictement » que vous proposez n’est pas utile ; en revanche, je suis favorable à la seconde partie de l’amendement.

Mme Danièle Obono. Je rectifie l’amendement en ce sens.

La Commission adopte l’amendement ainsi rectifié.

Puis elle adopte successivement l’amendement rédactionnel CL154, l’amendement CL156 tendant à corriger une erreur matérielle, les amendements de précision CL157 et CL159, l’amendement CL160 tendant à corriger une erreur de référence, l’amendement de précision CL161, les amendements rédactionnels CL162 à CL172, l’amendement de précision CL173, les amendements rédactionnels CL174, CL175 et CL222, l’amendement de précision CL176, les amendements rédactionnels CL177 à CL180, l’amendement de précision CL181, l’amendement rédactionnel CL182, l’amendement CL183 tendant à corriger une erreur de référence et les amendements rédactionnels CL184 à CL186, tous de la rapporteure.

Elle examine ensuite l’amendement CL223 de la rapporteure.

Mme la rapporteure. Je vous propose d’apporter une clarification permettant de ne pas surtransposer la directive.

La Commission adopte l’amendement.

Elle est ensuite saisie de l’amendement CL224 de la rapporteure.

Mme la rapporteure. Il s’agit d’imposer notamment la gratuité de la transmission d’informations à la personne concernée par un traitement de données pénales.

La Commission adopte l’amendement.

Puis elle adopte successivement l’amendement rédactionnel CL187, l’amendement CL188 tendant à corriger une erreur de référence, les amendements rédactionnels CL189, CL209, CL190 et CL191, l’amendement de clarification CL221, les amendements rédactionnels CL192 et CL193, les amendements de précision CL194 à CL196 et les amendements rédactionnels CL198 à CL201, tous de la rapporteure.

Elle adopte enfin l’article 19 modifié.

TITRE IV
HABILITATION À AMÉLIORER L’INTELLIGIBILITÉ DE LA LÉGISLATION APPLICABLE A LA PROTECTION DES DONNEES

Article 20 : Habilitation à réviser par voie d’ordonnance la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

La Commission examine l’amendement CL42 de M. Ugo Bernalicis.

Mme Danièle Obono. Notre groupe s’oppose à ce que le Gouvernement puisse réécrire par ordonnance la loi du 6 janvier 1978, comme le prévoit l’article 20 : cela témoigne d’une précipitation que le Conseil d’État et la CNIL ont dénoncée, et nous considérons que ce n’est pas à la hauteur du débat nécessaire sur de tels sujets. Notre amendement CL42 propose donc de supprimer l’article.

Mme la rapporteure. Avis défavorable. Je ne suis pas non plus adepte, à titre personnel, du recours aux ordonnances afin de légiférer, mais nous manquons désormais de temps pour respecter les délais fixés au niveau européen. Je comprends les inquiétudes qui se sont fait jour, lors des auditions, sur le manque de lisibilité : je pousse donc le Gouvernement à rédiger l’ordonnance le plus rapidement possible, en précisant que cela ne nous empêchera pas de débattre de la réécriture de la loi de 1978, et ce sur tous les points. J’incite nos collègues à se saisir des différents sujets qui sont concernés et à veiller à ce que l’ordonnance soit rédigée, comme promis, à droit constant.

M. Philippe Gosselin. Cette manière de légiférer par ordonnance est un dessaisissement du Parlement qui devient habituel en ce moment. Dans une autre salle de commission, quelques étages plus haut, onze articles prévoyant des ordonnances ont ainsi été adoptés.

En l’occurrence, je le regrette d’autant plus que nous avions fait le nécessaire sous la législature précédente, avec Anne-Yvonne Le Dain, Cécile Untermaier et d’autres collègues, pour qu’il y ait une sorte de SAV, un « service avant vote », grâce à un travail mené avec un peu plus de temps et dans la sérénité. Je ne fais pas de reproche à qui que ce soit sur ce dernier point, car je salue la bonne tenue de nos débats, mais je trouve que nous aurions pu avancer autrement que par ordonnance.

La garde des Sceaux nous a dit hier que ce serait un travail de pure légistique : on légiférera à droit constant, alors que l’on aurait pu en profiter pour procéder à une remise à plat sur un certain nombre de sujets. Nous ne pourrons pas le faire complètement dans le cadre du débat sur l’autorisation donnée au Gouvernement, en vertu de l’article 38 de la Constitution, ni lors de la ratification de l’ordonnance. Je regrette cette occasion manquée.

M. Éric Bothorel. L’exposé sommaire de l’amendement critique une « précipitation d’amateurs » et « un mépris pour un domaine aussi fondamental » : je ne fais pas partie de cette commission, mais je voudrais quand même souligner que nous venons d’examiner le texte pendant une heure et demie sans qu’aucun membre du groupe de La France insoumise ne soit présent, alors que ce groupe appelle au débat… Il est un peu « fort de café » de demander un ralentissement de la procédure et de ne pas être là pour défendre ses propres amendements.

Mme Danièle Obono. C’est la seule et unique fois ! Nous sommes très présents en commission !

Mme Albane Gaillot. Je voudrais insister sur la qualité des débats sur les articles 7, 9 et 13, dont je suis la rapporteure pour avis au nom de la commission des Affaires sociales : nous avons fait plusieurs dizaines d’heures d’auditions qui ont permis d’améliorer le texte sur certains points et surtout d’envisager l’avenir. On ne peut pas dire qu’aucun travail n’a été réalisé, bien au contraire.

Mme la garde des Sceaux. Comme M. Gosselin l’a rappelé, il s’agira d’un travail de pure légistique. C’est ce que dit l’article 20 : l’ordonnance permettra de procéder à la réécriture de l’ensemble de la loi de 1978 avec les corrections formelles et les adaptations nécessaires, « telles que résultant de la présente loi ». On s’appuiera sur ce que le Parlement aura adopté dans le cadre du texte dont nous débattons aujourd’hui.

M. Philippe Gosselin. Je ne souhaite maintenant qu’une chose : que le Gouvernement se hâte, et pas lentement. (Sourires.) Cela peut sembler contradictoire avec ce que j’ai dit précédemment, mais il n’en est rien : plus vous irez vite, moins il y aura d’ambiguïté et d’incompréhension à cause du décalage entre le RGPD et la loi de 1978 dans sa rédaction actuelle.

La Commission rejette l’amendement.

Puis elle adopte l’amendement de précision CL214 de la rapporteure.

La Commission adopte ensuite l’article 20 modifié.

TITRE V
DISPOSITIONS DIVERSES ET FINALES

Article 21 (art. 15, 16, 29, 30, 31, 39, 67, 70 et 71 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) : Coordinations

La Commission adopte successivement les amendements de coordination CL230, CL233 et CL232, l’amendement de précision CL215 et l’amendement de coordination CL231, tous de la rapporteure.

Puis elle adopte l’article 21 modifié.

Article 22 : Mise à disposition du public, dans un format ouvert et aisément réutilisable, de la liste des traitements ayant fait l’objet de formalités préalables

La Commission adopte l’amendement de précision CL216 de la rapporteure.

Elle adopte ensuite l’article 22 modifié.

Article 23 (art. 230-8 et 804 du code de procédure pénale) : Modalités d’effacement des données inscrites dans les traitements d’antécédents judiciaires

La Commission adopte successivement les amendements rédactionnels CL202, CL203 et CL205, l’amendement de cohérence CL225 et l’amendement CL206 tendant à corriger une erreur de référence, tous de la rapporteure.

Puis la Commission adopte l’article 23 modifié.

Après l’article 23

La Commission adopte l’amendement de coordination CL238 de la rapporteure.

Article 24 : Dispositions d’entrée en vigueur

La Commission adopte l’amendement rédactionnel CL217 de la rapporteure.

Elle adopte ensuite l’article 24 modifié.

Après l’article 24

La Commission examine l’amendement CL44 de Mme Danièle Obono.

Mme Danièle Obono. Il semble exister un consensus national, transpartisan, pour préserver et renforcer la neutralité du Net, qui est essentielle. Nous nous en félicitons et nous souhaitons contribuer, comme nous l’avons fait tout au long de l’examen du projet de loi, n’en déplaise à certains, à élargir et à structurer encore mieux les débats en la matière.

Notre amendement vise à retranscrire le consensus actuel en précisant la définition juridique de la neutralité du Net. Nous reprenons des amendements déposés sous la précédente législature, et qui étaient notamment cosignés par le président de Rugy. Dans ces conditions, je ne doute pas que vous soyez en faveur de notre proposition.

Mme la rapporteure. Je suis d’accord sur le fond. J’ai même proposé, dans le cadre des groupes de travail sur la réforme de l’Assemblée, que ce principe soit inscrit dans la Constitution. Il me semble que le projet de loi n’est pas le bon véhicule juridique : les débats constitutionnels à venir permettront d’élever votre proposition au plus haut niveau dans notre ordre juridique. Je donne donc un avis défavorable.

La Commission rejette l’amendement.

Puis elle adopte l’ensemble du projet de loi modifié.

Mme la présidente Yaël Braun-Pivet. Le texte sera examiné en séance publique à compter du 6 février prochain.

Je tiens à remercier particulièrement notre rapporteure pour son travail exceptionnel, mais aussi Rémy Rebeyrotte et, bien sûr, Mme la garde des Sceaux pour sa présence continue lors de nos travaux, hier et ce soir. Je remercie Philippe Gosselin, rapporteur d’application, pour son travail remarquable au sein de la Commission et auprès de moi en tant que vice-président : sachez que je l’apprécie particulièrement.

M. Philippe Gosselin. Au nom du groupe d’opposition Les Républicains, je voudrais saluer le travail accompli par la rapporteure et le bon état d’esprit qui a régné. Quant à vous, madame la présidente, encore quelques efforts et vous rattraperez notre ancien président Jean-Luc Warsmann pour l’examen des amendements : vous avancez très rapidement ! (Sourires).

Mme la présidente Yaël Braun-Pivet. Ainsi s’achève une journée bien remplie pour la commission des Lois !

La réunion s’achève à 22 heures 05.

————