Champ d’application de la loi : article 4 nv

" Art. 4. - Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises.

Supprimer l’article 4 nv

Ce sont des fichiers auxquels il est possible d’accéder et qui sont notamment stockés sur les proxy, ils doivent être soumis aux mêmes exigences que ceux référencés à l’art. 2 nv. De plus, la notion de copie temporaire est floue, aucune garantie n’est énoncée sur le caractère volatile et éphémère de cette copie, et aucune mesure de sécurité n’est énoncée.

Principe de la finalité : article 6 nv

" Art. 6. - Un traitement ne peut porter que sur des données qui satisfont aux conditions suivantes :

" 1° Les données sont collectées et traitées de manière loyale et licite ;

" 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;

" 3° (…)

Toutefois, seul un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V, s’il recours à des techniques d’anonymisation à la source des données identifiantes et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;

La finalité est le principe fondamental autour duquel s’organisent les autres principes que sont la pertinence, l’adéquation, le caractère non excessif, l'exactitude des données, la loyauté de la collecte, les destinataires, la durée de conservation. Toute réutilisation des données ne doit pas ruiner ce principe fondamental. La Charte européenne des droits fondamentaux à l’art. 8 réaffirme l’exigence d’un traitement " à des fins déterminées ".

Seul un traitement ultérieur à des fins historiques, scientifiques ou statistiques peut être admis comme non incompatible avec les finalités initiales s’il offre des garanties suffisantes notamment en matière de respect des droits d’information, de rectification et d’opposition des personnes auprès desquelles les données ont été initialement collectées.

En plus de ces garanties, un traitement ultérieur à des fins historiques, scientifiques ou statistiques doit être mis en œuvre avec des méthodes garantissant l’impossibilité d’identifier, directement ou indirectement, les personnes auprès desquelles les données ont été initialement collectées.

Des principes d’anonymisation ont déjà été mis en œuvre dans le secteur de la Sécurité sociale, de la santé et pour l’exploitation des données relatives au RMI (FOIN, Anonymat...).

Principe de la finalité : article 36 nv

" Art. 36. - Les données à caractère personnel ne peuvent être conservées (…) de la loi n°79-18 du 3 janvier 1979 précitée.

" Les traitements dont la finalité se limite (…) loi "

" Il peut être procédé à un traitement ayant des finalités autres que (…) de ce même article. "

Suppression du 2^e et du 3^e alinéas

Amendement de cohérence avec le précédent.

Données sensibles : article 8 nv

" Art. 8. - I. - Il est interdit, sauf consentement exprès de la personne concernée, de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

II.- (…)

" Art. 8. - I. - Il est interdit, sauf consentement exprès de la personne concernée, de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale, les caractéristiques génétiques des personnes, ou celles qui sont relatives à la santé ou à la vie sexuelle de celles-ci ou à l’intimité de leur vie privée dans ses composantes psychiques et sociales.

Il convient d’ajouter à la liste des données sensibles devant bénéficier de conditions de protection maximale (par ex. :interdiction de traitement sauf consentement exprès de la personne, autorisation préalable de la CNIL) :

- les données génétiques qui constituent le " sanctuaire " de l’intimité la plus profonde de la personne humaine. Elles sont collectées fréquemment chez le jeune enfant, alors qu’il s’agit souvent d’une collecte dans le cadre de diagnostics prédictifs, et que l’analyse des données ainsi recueillies n’apporte que des arguments de probabilité et non de certitude sur le risque de survenue d’une maladie. Tant du fait de leur nature que du contexte de leur collecte, les données génétiques doivent figurer au titre des données sensibles et le recueil du consentement exprès de la personne ou de son représentant légal est justifié.

- les données relatives à " l’intimité de la vie privée dans ses composantes psychiques et sociales ", car elles font l’objet de plus en plus couramment de traitements dans le cadre de l’informatisation de l’action sociale, alors que les appréciations qui y sont portées sur les comportements des personnes touchent à leur identité et à leur intimité, et qu’elles comportent nécessairement une large part de subjectivité. Voir à ce sujet la délibération CNIL n°98-094 du 13/10/98 qui, à propos de typologies sociales, affirme le " caractère extrêmement sensible de ces informations qui touchent à l’intimité de la vie privée des personnes " et rappelle leur " caractère le plus souvent subjectif ".

Données sensibles : article 9 nv

" Art. 9. Les traitements de données relatives aux infractions , condamnations et mesures de sûreté ne peuvent être mis en œuvre que par :

1° (...)

2° (...)

3° Les personnes morales victimes d'infractions, pour les stricts besoins de la lutte contre la fraude et dans les conditions prévues par la loi.

Supprimer le 3° de l’article 9 nv

Cet alinéa confie à des personnes morales un droit de création de casier judiciaire, sans aucune garantie (le fait de renvoyer vaguement à " la loi " ne veut rien dire en l'espèce), et crée un précédent très dangereux pour les Libertés puisque désormais toute victime - personne morale ou non -, du fait du principe d'égalité devant la Loi, devrait pouvoir créer son propre casier.

Régime d’autorisation, principe d’une déclaration préalable : article 22 nv

" Art. 22. –

I. – (…)

II. – (…)

1° (…)

2°(…)

3° Les traitements pour lesquels le responsable du traitement a désigné un correspondant à la protection des données (…) Un décret en Conseil d’État détermine les modalités d’application du présent 3°.

Supprimer le 3° du II de l’article 22 nv

La création de correspondants à la protection des données à caractère personnel ne peut constituer à elle seule une garantie suffisante pour déroger à toute formalité préalable à la mise en œuvre des traitements, en particulier concernant le respect des obligations prévues à l’art. 6 nv.

D’autant plus que cette disposition permettrait de déroger à toute formalité préalable, tant concernant les traitements soumis à déclaration (art 23 nv) que ceux soumis à autorisation (art 25, 26, 27 nvx).

Aucun élément de garantie ne peut assurer une totale indépendance du correspondant à l’égard de son propre employeur (l’expérience des médecins du travail en atteste).

En revanche DELIS estime que la généralisation de correspondants de la CNIL, tels qu’ils existent dans les ministères, peut favoriser la sensibilisation de tous les acteurs au respect de la loi. Cela pourrait faire l’objet d’un article complémentaire ajouté au chapitre V section I " obligations incombant aux responsables des traitements "

Régime d’autorisation, principe d’une déclaration préalable : article 24 nv

" Art. 24. - I. - Pour les catégories les plus courantes de traitements de données à caractère (…) le cas échéant par voie électronique.

" II. - La commission peut définir, parmi les catégories de traitements mentionnés au I, celles qui, compte tenu de leurs finalités, de leurs destinataires ou catégories de destinataires, des données traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées, sont dispensées de déclaration.

" Dans les mêmes conditions, la commission peut autoriser les responsables de certaines catégories de traitements à procéder à une déclaration unique selon les dispositions du II de l'article 23.

Suppression du 1^er alinéa du II.

et rédaction du 2^e alinéa du II. comme suit :

" La commission peut autoriser les responsables de certaines catégories de traitements, parmi ceux mentionnés au I, à procéder à une déclaration unique selon les dispositions du II de l'article 23.

DELIS demande la suppression des dispenses de déclaration et appelle à une meilleure utilisation des moyens de communication comme l’internet pour faciliter l’établissement des déclarations ainsi que la mise à disposition de normes permettant des déclarations simplifiées.

Il s'agit principalement par une déclaration fût-elle simplifiée, de sensibiliser les responsables des traitements sur la particularité que revêt un traitement de données personnelles.

Il convient de noter par ailleurs qu'à défaut de déclaration, tant le dispositif de protection des personnes que le dispositif pénal répressif, sont mis en échec.

établir dans la loi le statut du NIR :

Chapitre II Section 2

articles 8 nv à 10 nv (dispositions propres à certaines catégories de données) + art 27 nv

Après les articles 8, 9 et 10 et avant l’article 11 (chapitre III relatif à la CNIL)

Insérer un nouvel article ainsi rédigé :

" Le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques destiné à permettre l’identification des personnes est remplacé par un numéro non signifiant.

" Ce numéro ne peut faire l’objet d’un traitement ou de toute autre utilisation, autres que ceux déjà existants et autorisés, qu’aux seules fin d’éviter les erreurs d’identité.

" Les conditions d’application du présent article sont fixées par décret en Conseil d’État pris après avis de la commission "

La transformation du NIR en un identifiant non signifiant apporterait une garantie importante en matière de respect des droits des personnes. En effet, à partir des informations significatives que comporte le NIR, il est à craindre, avec la CNIL, qu’" Une utilisation non contrôlée du NIR serait susceptible d’entraîner […] l’engagement d’actions selon des critères discriminants et non légitimes ".

Il est grand temps qu’à l’instar d’autres pays, tels les Pays-Bas ou la Grande-Bretagne, la France rende le NIR aléatoire et non signifiant.

En plus de cela, il est souhaitable de graver dans le marbre de la loi le principe dégagé par le Conseil Constitutionnel selon lequel l’utilisation du NIR ne doit servir qu’à garantir l’identité des personnes et éviter les homonymies, ce qui exclut la possibilité de l’utiliser pour gérer des fichiers, faire des stats, procéder à des interconnexions (DC du 29/12/1998 sur la constitutionnalité de l’article 107 de la loi de finances pour 1999). Ainsi la dangerosité potentielle du NIR, en tant qu’identifiant unique permettant le rapprochement des fichiers et les interconnexions (cf. projet SAFARI) serait-elle écartée, celui-ci ne servant plus à gérer des fichiers ni à faciliter le rapprochement de fichiers.

À noter que dans la directive 95/46/CE, le NIR, comme les données sensibles et les données concernant les infractions et les condamnations, est recensé dans une catégorie particulière de données (Art. 8-7 de la directive).

Régime d’autorisation : articles 25 nv, 26 nv, 27 nv

Articles 25, 26 et 27 nv

Réécrire ces articles ainsi :

" Art. 25

Sont mis en œuvre après autorisation de la Commission nationale de l'informatique et des libertés :

- Les traitements de données sensibles, à l'exception pour les données relatives à la santé des traitements relatifs à la stricte gestion des dossiers médicaux au sein d’un cabinet médical.

- Les traitements automatisés portant sur des données génétiques, à l'exception de ceux d'entre eux qui sont mis en œuvre dans le cadre de la stricte gestion des dossiers médicaux au sein d’un cabinet médical.

- Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes et de données relatives à l'intimité de la vie privée dans ses composantes psychiques et sociales.

- Les traitements automatisés ayant pour finalité de sélectionner les personnes susceptibles de bénéficier d'un droit, d'une prestation ou d'un contrat alors que les personnes en cause ne sont exclues de ce bénéfice par aucune disposition légale ou réglementaire.

- Les traitements produisant des profils sur certains aspects de la personnalité ou du comportement des personnes notamment dans les sphères du travail, de la consommation, de la communication, quelle que soit l’origine des données.

- Tout traitement relatif à la vidéosurveillance.

- Les traitements automatisés ayant pour objet toute interconnexion lorsque les responsables de traitements sont distincts ou que les finalités des traitements sont différentes.

- Les traitements qui requièrent une consultation du répertoire national d'identification des personnes physiques sans inclure le numéro d'inscription à ce répertoire.

- Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.

Le régime d’autorisation doit être organisé, selon la nature des traitements, soit sur le principe d’une autorisation délivrée par la CNIL (art. 25 nv réécrit), soit sur le principe d’un décret en Conseil d’État pris après avis motivé et publié de la CNIL (art. 26 nv réécrit).

En effet, dans le projet de loi, la partition est établie entre trois autorités : le Conseil d’État, la CNIL et le(s) ministre(s) selon la nature des traitements. Outre la complexité qu’introduit cette triple partition, elle comporte l’inconvénient majeur, à l’article 26 nv du projet de loi (arrêté du ou des ministres compétents), de placer l’autorité ministérielle concernée en situation d’être juge et partie. Cela ne paraît pas souhaitable. C’est pourquoi, la partition que nous proposons (CNIL d’une part pour les traitements " importants ", Conseil d’État d’autre part pour les traitements par nature " dangereux ") offre à notre sens de meilleures garanties du respect de la loi informatique et libertés.

D’autre part, nous proposons d’élargir le champ des traitements visés par les articles 25, 26 et 27 nvx du projet de loi.

Pour les traitements relevant d’une autorisation de la CNIL, nous recensons :

- tous les traitements de données sensibles et de données génétiques, y compris ceux utilisés aux fins de la médecine préventive, des diagnostics médicaux ou de l’administration de soins ou de traitements, dès lors qu’ils font l’objet d’une transmission par voie électronique, justifient un régime d’autorisation vu les risque d'atteinte à la vie privée en cas de divulgation des données de santé ;

- les traitements relatifs non seulement aux difficultés sociales des personnes mais aussi à " l’intimité de leur vie privée dans ses composantes psychique et sociale" , ceci est en cohérence avec notre amendement sur l’art. 8 nv ;

- les traitements produisant des profils, en cohérence avec l’amendement adopté par l’Assemblée nationale en première lecture sur l’art. 10 nv ;

- les traitements relatifs à la vidéosurveillance et ceux mettant en œuvre des usages particuliers de technologies nouvelles faisant usage de fonctions de traçabilité, d’historisation et d’identification des personnes : cf. considérant n°53 de la directive 95/46/CE ;

Articles 8.III, 11, 12, 15 quater, 22, 24, 28, 29, 30, 31, 32, 36, 42, 45, 49,

- Les traitements dont la mise en œuvre dérogerait à certains principes fondamentaux de la protection des données tel le droit d’accès, le droit à l’information, les mesures de publicité liées à leur mise en œuvre ;

- Les traitements mettant en œuvre un usage particulier d’une technologie nouvelle, de nouvelles formes d’organisation sociétale, de nouvelles organisations du travail, de nouvelles formes de traçabilité et d’historisation de la vie privée et de nouvelles formes d’identification des personnes.

- Les bases de données juridiques publiques lorsqu’elles permettent l’identification directe ou indirecte des personnes.

- Les enquêtes statistiques lorsqu’elles concernent la totalité ou une très grande partie de la population par rapport à une qualité déterminée.

- Les traitements de données faisant l’objet d’un flux transfrontière, au sens de la directive, c’est-à-dire d’un flux hors du territoire des États membres de l’Union européenne.

" art. 26.-

Sont autorisés par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :

- Les traitements de données à caractère personnel mis en œuvre pour le compte de l'État et :

1° Qui intéressent la sûreté de l'État, la défense ou la sécurité publique ;

2° Ou qui ont pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté.

- Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées.

- Les traitements de données à caractère personnel mis en œuvre par toute personne que ce soit :

1° Qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou tout autre identifiant de portée générale ;

2° Ou qui portent sur la totalité ou la quasi-totalité de la population de la France.

- Les enquêtes statistiques lorsqu’elles concernent la totalité ou une très grande partie de la population.

Revoir dans ces articles les références aux art.25 et 26 nvx et supprimer celles relatives à l’art 27 nv, en cohérence avec le régime d’autorisation tel que nous le proposons

- les traitements ayant pour objet toute interconnexion, si les responsables ou les finalités sont distincts : dès lors qu’il ne s’agit pas d’un seul responsable gérant des fichiers dont la finalité est identique, le rapprochement de données opéré du fait de l’interconnexion est susceptible de porter gravement atteinte aux droits des personnes, ce qui justifie de soumettre ces interconnexions à un régime d’autorisation, ceci est cohérent avec les amendements proposés ci-après à ce sujet ;

- uniquement les traitements qui requièrent la consultation du RNIPP sans inclure le NIR, sont autorisés par la commission, tous ceux incluant le NIR doivent être soumis au régime de décret en Conseil d’État, ceci est cohérent avec l’amendement proposé ci-dessus sur le NIR ;

- les traitements qui dérogent à des principes de la protection des données, car un tel régime dérogatoire ne peut s’envisager sans être soumis à l’autorisation de la CNIL, qui pourra alors en fixer l’encadrement afin de faire valoir les droits des personnes fichées ;

- les bases de données juridiques publiques nominatives, qui nécessitent de protéger les droits des justiciables ;

- les traitements faisant l’objet d’un flux transfrontière, qui nécessitent de s’assurer que les données bénéficient de garanties équivalentes à celles qu’offre la loi en France (cf. considérant n°60 de la directive 95/46/CE).

Pour les traitements relevant d’un décret en Conseil d’État, nous recensons :

- tous les traitements de souveraineté, pour lesquels le niveau de protection doit être maximal ;

- tous les traitements relatifs à des infractions, condamnations ou mesures de sûreté (sauf s’ils sont mis en œuvre par des auxiliaires de justice), pour lesquels le niveau de protection doit ici aussi être maximal, vu la nature de ces informations ;

- tous les traitements comportant le NIR : cf. ci-dessus ;

- les traitements qui portent sur la totalité de la population car une telle exhaustivité de la collecte requiert aussi un niveau de protection maximal.

Amendements de cohérence avec la rédaction nouvelle que nous proposons pour les articles 25 et 26 nvx.

établir dans la loi les modalités de mise en œuvre des interconnexions :

au chapitre II section 1 " dispositions générales " art. 6 nv

" Art. 6. - Un traitement ne peut porter que sur des données qui satisfont aux conditions suivantes :

" 1°(…)

" 5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Ajouter un 6° ainsi rédigé :

" 6° Lorsqu’elles sont traitées pour faire l’objet d’une interconnexion, celle-ci doit être réalisée par des tierces parties de confiance, n’ayant aucun intérêt à ladite connexion. Les conditions d’application du présent alinéa sont fixées par décret en Conseil d’État pris après avis de la commission "

Compte tenu de la très forte valeur informationnelle potentiellement générée par une interconnexion de fichiers, nous voulons, qu’obligation soit faite aux parties ayant intérêt à cette interconnexion, de faire réaliser celle-ci en terrain neutre, ce que nous considérons comme une mesure de protection indispensable à l’égard des personnes concernées.

Les données, faisant l’objet de l’interconnexion, ne peuvent, en respect de la loi, être traitées qu’aux fins pour lesquelles elles ont été recueillies. Interdiction est donc faite à ces tiers de les utiliser à toutes autres fins et tout particulièrement à des fins commerciales, de plus obligation leur est faite de ne pas conserver lesdites données au-delà du temps nécessaire à la stricte exécution de leur mission.

La mise en œuvre de solutions techniques de ce type est opérationnelle depuis plusieurs années en Australie par la Data Matching Agency (DMA).

Homogénéiser les listes d’informations exigées : articles 24 nv, 29 nv, 30 nv, 31 nv, 32 nv

" Art. 24

" Art. 29

" Art. 30

" Art. 31

" Art. 32

Rédiger les listes figurant à tous ces articles ainsi :

" 1° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre État membre de la Communauté européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ;

" 2° La finalité du traitement et, le cas échéant, sa dénomination, ainsi que, pour les traitements relevant des articles 25, 26 et 27, ses caractéristiques ;

" 3° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

" 4° Le cas échéant, les données utilisées lors d’interconnexions, rapprochements ou toute autre forme de mise en relation avec d'autres traitements, ainsi que la cession de données à des tiers ;

" 5° La durée de conservation des informations traitées ;

" 6° Le ou les services chargés de mettre en œuvre le traitement ainsi que, pour les traitements relevant des articles 25, 26 et 27, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

" 7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

" 8° L'identité et l'adresse de la personne ou du service auprès duquel s'exerce le droit d'accès prévu à l'article 39, ainsi que les mesures relatives à l'exercice de ce droit ;

" 9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi ;

" 10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne, sous quelque forme que ce soit.

La liste d’informations exigées à l’article 30 nv est la plus complète, il est judicieux de la généraliser à tous les articles cités, tant par souci d’homogénéité que de pertinence quant aux procédures visées par ces articles.

NB : notre rédaction est conforme à celle figurant à l’art. 30 nv, sauf que nous inversons le 3° et 4° et qu’à l’alinéa évoquant les interconnexions nous ajoutons les rapprochements et mises en relation de données et la cession de données à des tiers.

Protection des droits des personnes, droit d’information : art. 32 nv

Art. 32-I (…)

" II. - Lorsque les données n'ont pas été recueillies (…)

" Les dispositions de l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à la conservation de données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues par la loi n° 79-18 du 3 janvier 1979 sur les archives, lorsque ces données ont été initialement recueillies pour un autre objet. Ces dispositions ne s'appliquent pas non plus lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.

" III. - Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au II et utilisées lors d'un traitement mis en œuvre pour le compte de l'État et intéressant la sûreté de l'État, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

" IV. - Les dispositions du présent article ne s'appliquent pas aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales.

Rédiger le II ainsi :

" II. - Lorsque les données n'ont pas été recueillies (…)

" Les dispositions de l'alinéa précédent ne s'appliquent pas aux traitements nécessaires à la conservation de données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues par la loi n° 79-18 du 3 janvier 1979 sur les archives, lorsque ces données ont été initialement recueillies pour un autre objet et rendues non identifiantes. Ces dispositions ne s’appliquent pas non plus lorsque l'information de la personne concernée se révèle impossible.

Rédiger le III et le IV ainsi :

III. – L’information de la personne prévue au I du présent article peut s’exercer, à titre dérogatoire, par l’intermédiaire d’une personne physique ou morale ayant qualité, en raison de son indépendance, pour ce faire, lorsque les données sont recueillies dans les conditions prévues au II et utilisées lors d'un traitement mis en œuvre pour le compte de l'État et intéressant la sûreté de l'État, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement

" IV. - L’information de la personne prévue au présent article peut s’exercer, à titre dérogatoire, par l’intermédiaire d’une personne physique ou morale ayant qualité, en raison de son indépendance, pour ce faire, lorsqu’elle s’applique aux traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales

" Les conditions d’application du III et du IV du présent article sont fixées par décret en Conseil d’État pris après avis de la commission .

En cohérence avec notre amendement de l’art. 6 nv sur le principe de la finalité.

Nous proposons de supprimer la partie de la phrase relative à la notion d’" efforts disproportionnés par rapport à l’intérêt de la démarche " qui est trop floue et pourrait être utilisée abusivement par certains responsables de traitements pour s’exonérer du respect du droit d’information à l’égard de la personne fichée.

Le droit d’information ne peut être retiré à la personne, seules les modalités de son exercice peuvent être aménagées. Supprimer purement et simplement le droit d’information, pour ce qui a trait à certains traitements de souveraineté, n’est pas compatible avec un fonctionnement démocratique de la société.

Protection des droits des personnes, consentement : art. 8 nv

" Art. 8. – I. – Il est interdit, sauf consentement exprès de la personne concernée (…)

" II. - Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont pas soumis à l'interdiction prévue au I :

" 1°(…)

" 5° Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal.

Rédiger le 5° ainsi :

" 5° Les traitements nécessaires aux fins de l’administration de soins dans les situations d’urgence médicale, ou dans celles où la personne n’est pas en mesure de s’exprimer ou ne dispose pas de sa capacité de jugement et qui est mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal.

Les données de santé, patrimoine le plus intime des personnes, sont maintenant traitées en réseau et sont sous la pression de la marchandisation. Pour ces données hautement sensibles, le principe du consentement exprès doit être privilégié, et seules les situations d’urgence médicale justifient d’y déroger, ainsi que celles où le patient n’est pas en mesure de s’exprimer ou ne dispose pas de sa capacité de jugement.

Protection des droits des personnes, droit d’opposition : art. 38 nv

" Art. 38. - Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.

" Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.

(…)

Rédiger le premier et le deuxième alinéas de l’art. 38 nv ainsi :

" Art. 38. - Toute personne physique a le droit de s'opposer, pour des motifs légitimes fondés sur l’expression de sa volonté limitée par sa seule conscience, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Dans le cas d’une utilisation des données concernant une personne à des fins de prospection, notamment commerciale, le consentement de celle-ci est expressément requis.

La notion de " motif légitime " nécessite d’être précisée. Puisque la loi prévoit des cas de dérogation au droit d’opposition au 3^e alinéa, elle ne peut de surcroît fixer d’autres limites que celles dont la personne concernée est seule juge.

Concernant les traitements de données à des fins de prospection, il est légitime de substituer le principe du consentement au simple droit d’opposition, fût-il sans frais et non soumis à l’obligation de le motiver. Ceci est en harmonisation avec les dispositions de l’art. 13 de la directive 2002-58 CE du 12-07-2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Accroître les pouvoirs juridiques, les moyens et les ressources d’expertises de la CNIL :

art. 11 nv à 21 nv

" Art. 11.. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes :

" 1° (…)

" e) Elle informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 52 ;

(…)

" 3° Elle se tient informée de l'évolution des technologies de l'information et des conséquences qui en résultent pour l'exercice des libertés mentionnées à l'article 1^er ;

" À ce titre :

" a) Elle est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements automatisés ;

(…)

" c) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes dans ce domaine.

Rédiger le e) ainsi :

" e) Elle dispose du pouvoir d’ester en justice en cas de violation des dispositions de la présente loi et du pouvoir d’informer sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 52 ;

Rédiger le a) ainsi 

" a) Elle donne un avis motivé et publié sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements automatisés ; elle est informée du contenu dudit projet au moins un mois avant la saisine du Parlement pour le projet de loi ou avant la publication au journal officiel pour le projet de décret.

Rédiger le c) ainsi

" c) Elle est associée à la préparation et à la définition de la position française dans les négociations internationales relatives aux traitements de données à caractère personnel, et à la représentation française dans les organisations internationales et communautaires.

Après le c), ajouter un d) ainsi rédigé :

" d) Elle désigne parmi ses membres le représentant de l’État français au groupe de l’art. 29 de la directive dit " Groupe de protection des personnes à l’égard du traitement des données à caractère personnel ".

La commission doit disposer du pouvoir d’ester en justice, comme la directive 95/46/CE le prévoit en son article 28-3 3^e tiret.

Il importe que la CNIL soit informée suffisamment à l’avance avant la présentation d’un décret ou la discussion d’une loi, afin qu’elle dispose du temps nécessaire à l’analyser du texte et à la formulation de son avis.

La CNIL devrait avoir un pouvoir de droit et non une participation à la seule initiative du Premier ministre.

" Art. 13. - I. - La Commission nationale de l'informatique et des libertés est composée de dix-sept membres :

(…)

" 6° Trois personnalités qualifiées pour leur connaissance de l’informatique ou des questions touchant aux libertés individuelles, nommées par décret ;

" Art. 13. - I. - La Commission nationale de l'informatique et des libertés est composée de dix-sept membres :

(…)

" 6° Trois personnalités qualifiées pour leur connaissance de l’informatique ou pour leur appartenance à la Commission nationale consultative des droits de l’Homme, nommées par décret ;

Pour affirmer la présence de la société civile, nous proposons qu'un ou plusieurs membres de la Commission Nationale Consultative des Droits de l'Homme (CNCDH) figurent parmi les personnalités qualifiées.

Accroître les pouvoirs juridiques, les moyens et les ressources d’expertises de la CNIL :

art. 11 nv à 21 nv

" Art. 19. - La commission dispose de services dirigés par le président et placés sous son autorité.

(…)

Rédiger le 1^er alinéa de l’art. 19 ainsi :

" Art. 19. - La commission dispose de services, comportant notamment un échelon régional, dirigés par le président et placés sous son autorité.

Après l’article 21, ajouter un article ainsi rédigé :

" Art. : un comité consultatif auprès de la CNIL est constitué. Il est saisi pour avis des projets d’informatisation les plus sensibles ou portant sur la totalité ou une très grande partie de la population. La composition et les modalités de fonctionnement de ce comité consultatif sont déterminées par décret en Conseil d’État pris après avis de la commission ".

La création de délégations régionales de la CNIL démultiplierait sa capacité d’exercer ses missions de contrôle a priori et a posteriori. Notre proposition entrerait en résonance avec la volonté actuelle affichée par le gouvernement de rapprocher des citoyens les moyens d’instruction et de décision.

La création d’un comité consultatif auprès de la CNIL vise à ce que les projets d’informatisation d’une certaine envergure soient plus largement portés à la connaissance du grand public qu’actuellement, et que des points de vue plus variés que ceux s’exprimant à ce jour aident à développer des démarches citoyennes dans le domaine de l’informatique et des libertés.

La composition de ce comité pourrait s’inspirer de celle de la Commission consultative des droits de l’Homme placée auprès du Premier ministre.

Accroître les pouvoirs juridiques, les moyens et les ressources d’expertises de la CNIL :

art. 45 nv et art. 49 nv

" Art. 45. - I. - La Commission nationale de l'informatique et des libertés peut prononcer un avertissement (…) de l'article 22, ou un retrait de l'autorisation accordée en application de l'article 25.

" II. - En cas d'urgence, lorsque la mise en œuvre d'un traitement ou l'exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l'article 1^er, la commission peut, après une procédure contradictoire :

" 1° Décider l'interruption de la mise en œuvre du traitement ou le verrouillage de certaines des données traitées, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui sont mentionnés au I et au II de l'article 26 ;

" 2° Saisir le Premier ministre pour qu'il prenne les mesures permettant de faire cesser, le cas échéant, la violation constatée, si le traitement en cause est au nombre de ceux qui sont mentionnés au I et au II de l'article 26 ; le Premier ministre fait alors connaître à la commission et rend publiques les suites qu'il a données à cette saisine au plus tard quinze jours après l'avoir reçue.

" III. - (...) "

Rédiger le II ainsi :

" II. - Lorsque la mise en œuvre d'un traitement ou l'exploitation des données traitées sont susceptibles d’entraîner une violation des droits et libertés mentionnés à l'article 1^er, la commission peut, sous réserve de respecter le caractère contradictoire de la procédure, décider l'interruption de la mise en œuvre du traitement ou le verrouillage de certaines des données traitées, jusqu’à mise en conformité avec la loi pour les traitements et les données concernées.

Ajouter un point IV ainsi rédigé :

" IV. - Les décisions prévues au I, II et III du présent article sont susceptibles de recours devant la juridiction administrative.

Il n’y a pas de justification pour un régime dérogatoire en la matière concernant les traitements de souveraineté. D’autre part, la durée de 3 mois ne trouve pas de justification particulière.

Les droits de la défense doivent être respectés par la mention effective des voies de recours.

" Art. 49. - La commission peut, à  la demande d'une autorité exerçant des compétences analogues aux siennes dans un autre État membre de la Communauté européenne, procéder à des vérifications dans les mêmes conditions, selon les mêmes procédures et sous les mêmes sanctions que celles prévues à  l'article 45, sauf s'il s'agit d'un traitement mentionné au I ou au II de l'article 26.

"  La commission est habilitée à communiquer les informations qu'elle recueille ...

Rédiger le premier alinéa ainsi :

"  Art. 49. - La commission peut, à  la demande d'une autorité exerçant des compétences analogues aux siennes dans un autre État membre de la Communauté européenne, procéder à des vérifications dans les mêmes conditions, selon les mêmes procédures et sous les mêmes sanctions que celles prévues à l'article 45.

"  La commission est habilitée à communiquer les informations qu'elle recueille ...

Là encore, nous demandons le retrait du régime dérogatoire qui concerne les traitements de souveraineté, tel qu’il était prévu à la fin du premier l’alinéa.

Préciser les conditions de la prise de décision individuelle automatisée

art. 10 nv

" Art. 10. - Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

" Aucune autre décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.

" Art. 10. - Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

" Aucune autre décision produisant des effets juridiques à l'égard d'une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.

La directive 95/46 CE du 24-10-95 a prévu en son article 15 cette formulation, dont le retrait affaiblirait les droits de la personne.