Protection des données personnelles

Réunis  pour examiner le projet de loi relatif à la protection des données personnelles, prévu pour l’application d’un règlement et d’une directive européennes du 27 avril 2016, nous en avons approuvé les grandes orientations ce 14 mars au sein de la commission des lois du Sénat, tout en nous attachant, d’une part, à renforcer la protection des droits et libertés des citoyens, d’autre part, à mieux accompagner les petites structures, TPE-PME et collectivités territoriales, dans la mise en œuvre de leurs nouvelles obligations.

Pour le président Philippe BAS (Les Républicains – Manche), « ce projet de loi d’apparence technique recèle des enjeux politiques considérables, pour l’ensemble de nos concitoyens dont il faut garantir le droit à la vie privée, comme pour nos petites entreprises, nos communes, nos intercommunalités qui pourraient se trouver exposées à des risques juridiques et financiers très importants ».

Sur proposition de son rapporteur Sophie JOISSAINS (Union centriste – Bouches-du-Rhône), nous avons ainsi décidé de maintenir à 16 ans, conformément au droit commun européen, l’âge minimal à partir duquel un mineur peut consentir au traitement de ses données personnelles.

Nous avons veillé à encadrer strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, et avons renforcé les garanties de transparence en la matière, par exemple pour les inscriptions à l’université.

Nous avons rétabli l’autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté, précisé les conditions d’extension de la liste des personnes autorisées à mettre en œuvre ces fichiers, ainsi que le cadre juridique de la mise à disposition des décisions de justice (« open data ») afin de prévenir tout risque d’atteinte à la vie privée des personnes et à l’indépendance de la justice.

Suivant l’avis de son rapporteur, la commission a adopté un amendement de Claude RAYNAL (Socialiste – Haute-Garonne) visant à ce que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée.

Pour répondre aux fortes inquiétudes exprimées par les petites entreprises et les collectivités territoriales, dont chacun s’accorde à dire qu’elles ne seront pas prêtes pour appliquer le règlement général sur la protection des données (RGPD) dès le 25 mai 2018, nous nous sommes attachés :

  • à dégager de nouveaux moyens financiers pour les aider à se mettre en conformité, en « fléchant » le produit des amendes et astreintes prononcées par la CNIL à leur intention, et en créant une dotation communale et intercommunale pour la protection des données personnelles ;
  • à faciliter la mutualisation des services numériques entre collectivités territoriales ;
  • à réduire l’aléa financier pesant sur ces dernières, en supprimant la faculté pour la CNIL de leur imposer des amendes administratives et en reportant de deux ans l’entrée en vigueur de l’action de groupe en réparation en matière de données personnelles ;
  • à encourager la diffusion d’informations et l’édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités, comme des TPE-PME.

Enfin, Sophie JOISSAINS s’est émue de l’état d’impréparation du Gouvernement, qui, étant donné les très nombreuses incohérences qui subsistent entre le droit français et le droit européen, en est réduit à demander une habilitation à procéder par ordonnance aux ajustements nécessaires. « Le manque d’anticipation du Gouvernement est grave. Il témoigne d’une désinvolture totale vis-à-vis du Parlement et d’un mépris abyssal pour les collectivités, que nous ne pouvons accepter. » Sur sa proposition, nous avons donc supprimé cette habilitation, à charge pour le Gouvernement d’apporter les garanties nécessaires, en séance publique, pour que l’ordonnance ne procède qu’à des modifications à droit constant, sans remettre en cause les apports du travail parlementaire.

Le dossier législatif