Quantcast

Protection des données : les pouvoirs de la Cnil consolidés par les députés

30 janv. 2018, PAR Bastien Scordia
  • 04
    MIN
  • 0

© Michel Spingler/AP/SIPA

Dans le cadre de l’examen du projet de loi relatif à la protection des données personnelles, la commission des lois de l’Assemblée nationale a offert la possibilité pour les commissions parlementaires de saisir la Commission nationale de l’informatique et des libertés (Cnil). 


La Commission nationale de l’informatique et des libertés (Cnil) sort renforcée de l’examen parlementaire du projet de loi relatif à la protection des données personnelles. Mardi 23 janvier, les députés de la commission des lois ont adopté une série d’amendements élargissant notamment sa possibilité de saisine au Parlement et le champ des compétences nécessaires pour intégrer son collège.

Présenté en Conseil des ministres le 13 décembre dernier et en débat en séance publique à compter du 6 février, le projet de loi en question adapte au droit de l’Union européenne (UE) la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ce cadre juridique européen – surnommé “paquet européen de protection des données” – se compose d’un règlement (le RGPD) et d’une directive directement applicable dans les États de l’union à compter du 25 mai 2018. La course contre la montre est donc engagée, le projet de loi français et ses décrets d’application devant en effet entrer en vigueur avant cette échéance.

Saisines par les commissions permanentes

Dans le détail, les députés de la commission des lois ont notamment approuvé un amendement offrant la possibilité pour les commissions permanentes de l’Assemblée nationale et du Sénat de saisir la Cnil sur toute proposition de loi relative à la protection des données personnelles.

Déposée par la rapporteure du projet de loi, la députée LREM Paula Forteza, cette nouvelle disposition vient en compléter une autre, prévue par l’exécutif dans son texte initial, qui autorise les présidents des deux chambres à saisir l’autorité administrative.

Pour “éviter que des textes législatifs qui affectent les droits et libertés numériques soient adoptés dans la hâte et sans réelle expertise technique”, les députés de La France insoumise (LFI) souhaitaient quant à eux élargir le bénéfice de ce dispositif à tous les parlementaires. En vain, son amendement sur le sujet ayant en effet été rejeté par la commission des lois. “Votre proposition va un peu trop loin : la Cnil n’aura pas les moyens de répondre à la saisine de chaque député ou sénateur”, a justifié Paula Forteza.

Ce n’est pas la première fois que cette question de la saisine par les députés et sénateurs revient sur le tapis parlementaire. Lors de l’examen en 2016 du projet de loi pour une République numérique, l’ouverture de la saisine de la Cnil aux présidents de l’Assemblée nationale ou du Sénat (voulue par les députés sur proposition du gouvernement) avait été supprimée du texte par les locataires du Palais du Luxembourg. Ce “dispositif n’apparaît pas pertinent, jugeait le rapporteur du texte d’alors, le sénateur LR Christophe-André Frassa. La Cnil est, contrairement au Conseil d’État, une autorité administrative indépendante régulièrement consultée par les commissions permanentes sans qu’il ne soit nécessaire de prévoir un avis formalisé”.

Procédures strictes de nomination

En commission, les députés ont également modifié le champ des compétences requises pour intégrer le collège de la Cnil, où siègent 18 membres élus ou désignés par le gouvernement, les juridictions, les assemblées parlementaires et leurs présidents.

Ainsi, les 5 personnalités qualifiées nommées en son sein par le gouvernement et les présidents de l’Assemblée nationale et du Sénat (3 pour l’exécutif et 1 pour chaque président de chambre) devront dorénavant être choisies en fonction “de leur connaissance du numérique et des questions touchant aux libertés individuelles”. Le gouvernement souhaitait quant à lui que leur choix se fasse en fonction de l’un ou de l’autre de ces critères et non des deux.

Sur ces procédures de nomination, les députés de La France insoumise entendaient, là encore, aller beaucoup plus loin en obligeant les autorités présentant des candidats au collège de la Cnil à dévoiler une évaluation de leurs compétences en fonction d’un barème allant de 1 à 10. L’amendement déposé en ce sens est finalement tombé.

Pas de contrôle des fichiers de sécurité

Autre fait notable : la rapporteure Paula Forteza a retiré l’un de ses amendements qui prévoyait de confier à la Cnil un pouvoir de contrôle des fichiers relatifs à la sécurité de la nation parmi lesquels ceux des directions générales de la sécurité intérieure (DGSI) et de la sécurité extérieure (DGSE), le fichier de la direction du renseignement militaire (DRM) ou encore celui dénommé “Gestion du terrorisme et des extrémismes violents” (Gesterext) mis en œuvre par la préfecture de police.

“ll n’existe, à l’heure actuelle, aucun contrôle en aval de ces fichiers, permettant de garantir qu’ils sont mis en œuvre dans le respect de la protection des données personnelles et des textes applicables en la matière, auxquels ils sont pourtant soumis, expliquait-elle. Il est impossible, par exemple, de savoir s’ils respectent effectivement les prescriptions fixées par les textes réglementaires qui les créent (finalités, catégories de données, durée de conservation).”

Les garanties “sont suffisantes”, via notamment la Commission nationale de contrôle des techniques de renseignement (CNCTR), a répondu en réunion la ministre de la Justice, Nicole Belloubet, tout en affirmant que le renforcement du pouvoir de contrôle a posteriori de la Cnil “sur ces traitements risquerait de fragiliser considérablement leur alimentation et leur fonctionnement”. Selon la garde des Sceaux, cela porterait également “atteinte au secret des modalités d’action des services de renseignement et, d’autre part, l’échange de renseignements entre les services français et ceux des autres États pourrait être freiné par la crainte des services étrangers que les renseignements confidentiels qu’ils partagent puissent être communiqués à des tiers”.