J.O. 74 du 28 mars 2007
J.O. disponibles
Alerte par mail
Lois,décrets
codes
AdmiNet
Ce document peut également être consulté sur le site officiel Legifrance
Délibération n° 2006-218 du 28 septembre 2006 portant avis sur le projet de décret modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004
NOR : CNIX0710190X
La Commission nationale de l'Informatique et des Libertés,
Saisie par le ministre de la justice d'un projet de décret en Conseil d'Etat, modifiant le décret du 20 octobre 2005 pris pour l'application de la loi no 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la convention no 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46 /CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi no 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Alex Türk, président, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'Informatique et des Libertés a été saisie, le 16 juin 2006, par le ministre de la justice du décret pris pour l'application de la loi no 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. L'article 71 de ce dernier texte prévoit en effet la consultation de la CNIL préalablement à l'examen en Conseil d'Etat.
En préambule, la commission observe que le projet de décret qui lui est soumis comporte, en particulier, un chapitre Ier qui modifie et complète le décret du 20 octobre 2005 par un ensemble de dispositions entrant dans le détail de son organisation, de son fonctionnement et de ses procédures.
Or, comme elle l'a déjà souligné dans sa délibération du 24 mars 2005 portant sur le premier projet de décret d'application de la loi du 6 août 2004, l'article 13 de la loi du 6 janvier 1978 modifiée dispose que « La commission établit un règlement intérieur. Ce règlement fixe les règles relatives à l'organisation et au fonctionnement de la commission. Il précise notamment les règles relatives aux délibérations, à l'instruction des dossiers et à leur présentation devant la commission. » Il convient de rappeler que l'article 8 de la loi de 1978, dans sa version antérieure à la loi du 6 août 2004, se bornait à prévoir que la commission établit « son règlement intérieur ».
Certes l'article 71 de la loi du 6 janvier 1978 modifiée prévoit que « des décrets en Conseil d'Etat, pris après avis de la Commission nationale de l'Informatique et des Libertés, fixent les modalités d'application de la présente loi. » Il semble néanmoins à la commission que les termes de l'article 13 auraient pu conduire à limiter plus étroitement l'intervention du pouvoir réglementaire dans des matières que le législateur a expressément renvoyées au règlement intérieur de la CNIL, autorité administrative indépendante.
Dès lors, la commission demande que les modifications suivantes, présentées sous forme d'amendements dans la présente délibération, soient apportées au texte qui lui a été soumis.
Chapitre Ier
Dispositions modifiant et complétant
le décret no 2005-1309 du 20 octobre 2005
Article 1er
Rédiger ainsi cet article :
Il est ajouté à l'article 4 du décret du 20 octobre 2005 susvisé les alinéas suivants :
« Sauf lorsqu'elle statue en application des troisième et cinquième alinéas de l'article 16 de la loi du 6 janvier 1978 susvisée, et sauf urgence, les projets de délibération et, le cas échéant, les rapports y afférant relatifs aux dossiers inscrits à l'ordre du jour d'une séance doivent parvenir au commissaire du Gouvernement six jours au moins avant la date de la séance.
« Le commissaire du Gouvernement peut consulter dans le même délai, sur place et sur pièces, les dossiers de formalités inscrits à l'ordre du jour. »
Exposé des motifs
En 2005, la CNIL a adopté 317 délibérations (1) en séance plénière et bureau, soit une augmentation de plus de 200 % par rapport à 2004. Sur une période plus longue, cette croissance de l'activité de la commission est encore plus spectaculaire puisque le nombre de ses délibérations a crû de 570 % entre 2003 et 2006, passant de 52 à 350 délibérations en 2006 (estimation).
Compte tenu de cet accroissement considérable résultant des nouveaux régimes de formalités préalables introduits par la loi du 6 août 2004 et d'une forte activité législative dans des domaines intéressant la CNIL, la légitime amélioration des délais de communication des dossiers au commissaire du Gouvernement que poursuit cet article ne doit pas, pour autant, porter atteinte à la maîtrise de son ordre du jour par la commission.
Il est donc proposé que le délai de transmission au commissaire du Gouvernement des dossiers inscrits à l'ordre au jour soit de six jours avant la date de la séance (contre huit jours dans le projet de décret) tout en prévoyant une dérogation en cas d'urgence. En outre, l'examen d'un dossier, par la commission, voire l'adoption d'une délibération, ne sauraient être subordonnés à la transmission des dossiers au commissaire du Gouvernement qui constitue une règle de stricte procédure.
Par ailleurs, il convient de définir plus précisément, au premier alinéa, la notion de « dossier » en se référant aux seuls « projets de délibération et le cas échéant rapport y afférant ».
Enfin, afin d'améliorer l'information du commissaire du Gouvernement, il est proposé qu'il puisse consulter, sur place et sur pièces, les dossiers de formalités inscrits à l'ordre du jour.
(1) Dont 17 avis sur des projets de lois ou de décrets.
Article 2
Rédiger ainsi cet article :
Après l'article 6 du décret du 20 octobre 2005 susvisé, il est créé un article 6-1 ainsi rédigé :
« Art. 6-1. - I. - La Commission nationale de l'Informatique et des Libertés, saisie dans le cadre du a du 4° de l'article 11 de la loi du 6 janvier 1978 susvisée, se prononce dans le délai de deux mois à compter de la date du jour de réception de la demande d'avis du Gouvernement. Ce délai peut être prolongé d'un mois sur décision du président de la CNIL lorsque la complexité du projet de loi ou du décret le justifie.
En cas d'urgence, ce délai peut être ramené à un mois à la demande du Gouvernement.
II. - La commission, saisie dans le cadre du d du 2° de l'article 11 de la loi précitée, se prononce dans le délai de deux mois à compter de la date du jour de réception de la demande. Ce délai peut être prolongé d'un mois sur décision du président de la CNIL lorsque la complexité de la demande d'avis le justifie. »
Exposé des motifs
A la différence des procédures de demandes d'avis prévues au titre des articles 26 et 27 concernant les fichiers communément qualifiés de « souveraineté », la loi ne prévoit aucune règle précise déterminant les modalités selon lesquelles la CNIL doit rendre son avis sur les projets de lois ou de décrets relatifs à la protection des personnes.
Or, le projet de décret, nonobstant le silence de la loi, prévoit que la commission doit se prononcer dans un délai d'un mois à compter de la date du jour de réception de la demande. Ce délai est, à l'évidence, trop bref.
C'est pourquoi, il est proposé de s'inspirer de la procédure d'instruction prévue pour les demandes d'avis relevant des articles 26 et 27 de la loi en proposant que la commission dispose d'un délai de 2 mois, sachant qu'en cas d'urgence ce délai pourrait être limité à un mois à la demande du Gouvernement, mais qu'en cas de complexité du texte, il pourrait être prolongé d'un mois sur décision du président de la CNIL et porté à 3 mois.
Par ailleurs il convient de supprimer le régime d'avis favorable implicite prévu au deuxième alinéa de cet article . En effet, dans la mesure où il s'agit de matières concernant les libertés individuelles, un décret ne peut prévoir un tel régime de décision favorable implicite, qui relève de la seule compétence du législateur, conformément aux dispositions de l'article 22 de la loi du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec l'administration.
En ce qui concerne l'examen des demandes d'avis des pouvoirs publics et des demandes de conseil présentées en application de l'article 11 (2°, d) il est également proposé qu'en cas de complexité de la demande le délai de deux mois puisse être prolongé sur décision du président de la CNIL, comme le prévoit d'ores et déjà l'article 28-I.
Article 3
Rédiger ainsi cet article :
« I. - Aux troisième et sixième alinéas de l'article 8, aux premiers alinéas des articles 15, 28 et 30, aux articles 42 et 45, au premier alinéa de l'article 53, au deuxième alinéa de l'article 66, au dernier alinéa de l'article 73, au premier alinéa de l'article 75, à l'article 76 et au dernier alinéa de l'article 78 du décret du 20 octobre 2005 susvisé, ajouter après les mots : "lettre recommandée avec demande d'avis de réception les mots : "ou lettre remise contre signature.
II. - A l'article 55 du même décret, ajouter après les mots : "lettre recommandée avec accusé de réception les mots : "ou lettre remise contre signature. »
III. - Au second alinéa de l'article 86 du même décret, ajouter après les mots : "sous pli recommandé sans avis de réception les mots : "ou par lettre remise contre signature. »
Exposé des motifs
Le projet de décret prévoit de remplacer systématiquement la procédure de la lettre recommandée avec accusé de réception par celle de « remise contre signature ». Cette proposition relève exclusivement de l'organisation interne du travail de la commission et, partant, nullement du pouvoir réglementaire.
Il est donc préférable, car plus souple et plus pragmatique, de laisser le choix entre plusieurs procédures d'envoi : RAR, remise au secrétariat contre signature, accusé de réception électronique. Tel est l'objet de la rédaction proposée,
Article 4
Rédiger ainsi le II de l'article 4 :
« II. - Les demandes d'avis portant sur les traitements mentionnés dans le décret en Conseil d'Etat pris en application du dernier alinéa du I de l'article 30 de la loi précitée comportent au minimum les mentions suivantes :
1° L'identité et l'adresse du responsable du traitement ;
2° La ou les finalités du traitement, s'il y a lieu, la dénomination du traitement, ainsi que la description générale de ses fonctions ;
3° Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d'autres traitements ;
4° Les catégories de personnes concernées par le traitement ;
5° La durée de conservation des informations traitées ;
6° Le ou les services chargés de mettre en oeuvre le traitement ;
7° Les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;
8° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;
9° Le service auprès duquel s'exerce le droit d'accès visé à l'article 41 de la loi du 6 janvier 1978 susvisée, ainsi que les mesures prises pour faciliter l'exercice de ce droit. »
Exposé des motifs
L'article 13 de la loi du 23 janvier 2006 contre le terrorisme a complété l'article 30 de la loi du 6 janvier 1978 par un alinéa restreignant, pour certains traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique fixés par décret en CE pris après avis de la CNIL, les informations appelées à figurer dans les demandes d'avis soumises à la commission.
Cependant, le décret pris en application de l'article 30 doit fixer la « liste » limitative des traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique soumis à cette restriction d'informations.
Il convient donc de compléter le II de l'article 4 pour indiquer expressément qu'il ne s'agit que des traitements mentionnés dans le décret en Conseil d'Etat pris en application du dernier alinéa du I de l'article 30 de la loi précitée, et non l'ensemble des traitements de « souveraineté » prévus par cet alinéa. A cet égard, la commission prend acte que, selon les informations communiquées par le ministère de la justice, un projet de décret établissant cette « liste » serait en cours d'élaboration et devrait lui être prochainement soumis.
Enfin, pour permettre à la commission d'exercer pleinement les missions que lui a confiées le législateur, il importe qu'elle soit suffisamment informée. C'est pourquoi, il est proposé que les caractéristiques essentielles du fichier, notamment les fonctions générales du traitement, la durée de conservation, les catégories de personnes concernées, figurent parmi les informations devant, au minimum, être transmises à la commission.
Articles 7 et 8
Supprimer ces articles .
Exposé des motifs
Les articles 7, 8 et 9 modifient et précisent les dispositions actuelles du décret du 20 octobre 2005 concernant les modalités d'exercice du droit d'accès indirect aux fichiers intéressant la sécurité publique, la sûreté de l'Etat et la défense nationale.
Ainsi l'article 7 permettrait au ministère de l'intérieur (ou au ministère de la défense), en cas de demande nécessitant « des investigations complexes », de proroger d'un mois le délai de trois mois qui lui est imparti pour traiter les demandes transmises par la CNIL dont le délai d'instruction, de quatre mois, serait alors porté à cinq mois.
Pour sa part, l'article 8, consacré aux fichiers de police judiciaire prévus au titre de l'article 21 de la loi du 18 mars 2003 (STIC et JUDEX), allongerait encore les délais d'instruction qui seraient portés à 6 mois (voire 7 mois en cas d'investigations complexes) afin de permettre aux responsables de ces fichiers de saisir le procureur de la République pour que ce dernier vérifie la fiche, la mette éventuellement à jour et donne son accord pour sa communication (conformément aux décrets régissant ces fichiers [2] et au relevé de conclusions établi avec la CNIL).
Or, il convient de souligner que les délais de réponse des services de police judiciaire sont actuellement de l'ordre de plusieurs mois, voire d'un an et plus.
Au 1er septembre 2006, les services de la CNIL étaient ainsi en attente de la réponse des services de police judiciaire du ministère de l'intérieur pour 470 dossiers datant de 2005 et pour 45 datant de 2004. À ces chiffres, il convient d'ajouter les 600 dossiers reçus par la CNIL depuis le 1er janvier 2006 et l'attente de la confirmation par les services de la police nationale, d'une mise à jour ou d'une suppression des informations pour 38 dossiers, de la suite judiciaire et de l'accord de communication pour 218 dossiers, et de l'accord de communication pour 218 autres dossiers.
Or, les demandes de droit d'accès indirect concernent de nombreuses personnes en situation précaire qui se sont vu refuser une embauche, voire licencier, en raison de leur inscription dans ces fichiers. La vérification de leur éventuel signalement au STIC et du contenu de leur fiche doit donc être réalisée dans les plus brefs délais.
Dès lors, l'allongement potentiel à 7 mois des délais prévus au titre des articles 7 et 8 ne paraît pas souhaitable, c'est pourquoi leur suppression est demandée.
(2) Non encore publiés.
Article 11
TITRE II
DES OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENTS
ET DES DROITS DES PERSONNES
Chapitre Ier
L'obligation d'information incombant
aux responsables de traitements
Article 90
Rédiger ainsi le premier alinéa de cet article :
« Le responsable du traitement avise les personnes auprès desquelles sont recueillies des données à caractère personnel des informations énumérées au I de l'article 32 de la loi du 6 janvier 1978 susvisée directement sur le support de collecte ou, à défaut, sur un document préalablement porté à leur connaissance en caractères lisibles. En application du 6° du I du même article , il les informe également, dans les mêmes conditions, des coordonnées du service compétent auprès duquel elles peuvent exercer leurs droits d'opposition, d'accès et de rectification. Lorsque la collecte des données est opérée oralement à distance, il doit porter oralement ces informations à la connaissance des intéressés, en leur indiquant qu'ils peuvent, sur simple demande, recevoir postérieurement ces informations par écrit. »
Exposé des motifs
Le projet de décret prévoit que le document portant les informations de l'article 32-I peut être « remis » à la personne concernée. Or, cette rédaction fait obstacle à ce que l'information soit assurée par voie d'affichage, à l'instar de celle pratiquée dans les cabinets médicaux ou les agences commerciales.
En outre, la notion de collecte « à distance » est équivoque : vise-t-on les collectes par téléphone, par internet et par coupon-réponse ou seulement certaines de ces modalités ? S'agissant des collectes opérées par internet ou par coupon-réponse, la première partie de l'alinéa 1 de cet article semble pouvoir s'appliquer puisqu'il existe un support écrit de collecte. Cela ne concernerait donc que la collecte par téléphone, orale et à distance. La proposition de rédaction clarifie ces différents points.
Article 91
Rédiger ainsi cet article et supprimer son dernier alinéa :
« Les informations figurant au 7° du I de l'article 32 de la loi du 6 janvier 1978 susvisée que le responsable du traitement communique, dans les conditions prévues à l'article 90, à la personne auprès de laquelle des données à caractère personnel sont recueillies, sont les suivantes :
1° Le ou les pays d'établissement du destinataire des données dans les cas où ce ou ces pays sont déterminés lors de la collecte des données ;
2° La nature des données transférées ;
3° La finalité du transfert envisagé ;
4° La ou les catégories de destinataires des données :
5° Le niveau de protection offert par le ou les pays tiers, dans les cas où les personnes concernées en auraient fait la demande. »
Exposé des motifs
Les dispositions du 5° de cet article du projet de décret prévoient que la personne dont les données sont collectées doit être systématiquement informée du niveau de protection offert par les pays tiers. Or, cette obligation serait extrêmement lourde, voire impossible, à mettre en oeuvre dans certains domaines comme le marketing.
Par ailleurs, le dernier alinéa de cet article semble se référer à l'idée selon laquelle la personne elle-même aurait demandé le transfert (ce qui correspondrait à la formule « lorsqu'il a été demandé par l'intéressé »). Si tel était le cas, il est difficile d'envisager à quelle situation cette disposition s'appliquerait et, partant, d'en déterminer la portée pratique et juridique.
Ce dernier alinéa pourrait également se référer à l'hypothèse selon laquelle la personne elle-même aurait demandé à bénéficier de l'information prévue au 5°. Une telle interprétation correspondrait à la référence faite à l'article 96, qui concerne l'exercice des droits des personnes, mais pas à l'emploi du terme « il ». Sur le fond, cette interprétation correspondrait à la demande de la CNIL, mais sans être explicite, ce qui n'est pas satisfaisant.
Il est donc proposé de clarifier ces points en précisant qu'il incombe à la personne concernée de demander une information sur le niveau de protection offert par le pays tiers.
Article 92
Dans cet article , supprimer le mot : « immédiatement ».
Exposé des motifs
Cet article prévoit que le responsable du traitement doit permettre aux internautes de s'opposer à l'utilisation des cookies par un moyen simple et immédiat. Cette disposition paraît impossible à mette en oeuvre puisque l'internaute serait alors sans cesse envahi de demandes d'acceptation ou de refus au cours de sa navigation, au risque de la paralyser.
Cette disposition ne deviendrait applicable que si la référence au moyen simple et immédiat concernait la seule indication des modalités de refus des cookies en fonction du navigateur utilisé, auquel cas il serait préférable de supprimer l'adjectif « immédiatement ».
Article 93
Supprimer cet article .
Exposé des motifs
L'article 8-III de la loi du 6 janvier 1978 autorise la collecte et le traitement de données sensibles si ces dernières font l'objet à « bref délai » d'un procédé d'anonymisation. Créer un délai de huit jours, comme le prévoit le projet de décret, revient à définir cette notion de « bref délai ».
Or, la réalité de l'anonymisation n'est ni de huit jours, ni de un mois, mais de quelques secondes voire quelques heures (cf. logiciels d'anonymisation déjà examinés par la CNIL dans le domaine des statistiques médicales : SIDA, PMSI, assurance maladie complémentaire).
Introduire un délai préfixé de huit jours ne correspond donc pas à la notion d'anonymisation à bref délai et, partant, à la volonté du législateur. Il est donc proposé de le supprimer.
Chapitre II
Les droits des personnes à l'égard des traitements
de données à caractère personnel
Article 94
Rédiger ainsi le premier alinéa de cet article :
« Les demandes tendant à la mise en oeuvre des droits prévus aux articles 38 à 40 de la loi du 6 janvier 1978 susvisée, lorsqu'elles sont présentées par écrit, doivent être signées et accompagnées d'une pièce justificative de l'identité du demandeur. Elles doivent préciser l'adresse à laquelle doit parvenir la réponse. Lorsqu'il existe un doute sur l'identité du demandeur, ou sur l'adresse indiquée, la réponse doit être expédiée sous pli recommandé sans avis de réception, la vérification de l'identité ou de l'adresse du demandeur s'effectuant lors de la délivrance du pli. »
Exposé des motifs
La référence faite, par le projet de décret, aux dispositions relatives au droit d'accès indirect, applicables en particulier aux fichiers de police, semble maladroite puisque le droit d'accès indirect constitue un régime dérogatoire au régime de droit commun que constitue le droit d'accès direct.
En outre, elle est de nature à introduire une confusion auprès des citoyens dans la mesure où elle aurait pour conséquence de les inviter à exercer leur droit, non pas auprès des responsables de traitements concernés, mais auprès de la CNIL. La rédaction proposée supprime donc la référence à l'article 86 du décret d'octobre 2005, relatif aux procédures du droit d'accès indirect.
Article 96
Rédiger ainsi le premier alinéa de cet article :
« Le responsable du traitement satisfait à la demande présentée par l'intéressé dans le délai d'un mois suivant sa réception. »
Exposé des motifs
Le responsable du traitement doit satisfaire à la demande du requérant et non pas se contenter de se prononcer dessus comme le propose le projet de décret. En outre, le principe doit être celui d'une réponse favorable.
S'agissant du délai de réponse, un mois est largement suffisant. La multiplication des correspondants à la protection des données dans les organismes devrait d'ailleurs conduire à un meilleur traitement des demandes. A cet égard, la réduction du délai de réponse devrait inciter les responsables de traitements à mettre en place des correspondants à la protection des données ou des procédures de traitement de ces demandes plus rapides et efficaces.
Rédiger ainsi le deuxième alinéa de cet article :
« Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite, dans le délai d'un mois suivant la réception de la demande, le demandeur à les lui fournir. Le responsable du traitement y procède par lettre remise contre signature ou par voie électronique. Le délai d'un mois suspend le délai prévu à l'alinéa précédent. »
Exposé des motifs
Opposer un délai d'un mois au demandeur ne répond à aucun besoin puisque, à défaut de réponse, sa demande ne sera pas traitée. En effet, c'est à l'endroit du responsable du traitement qu'incombe le respect d'un délai de réponse et non au citoyen.
Rédiger ainsi le troisième alinéa de l'article 96 :
« Les décisions du responsable du traitement refusant de donner une suite favorable à la demande qui lui est présentée sont motivées et mentionnent les voies et délais de recours ouverts pour les contester. »
Exposé des motifs
Cet amendement propose d'obliger le responsable du traitement à informer le demandeur des raisons et motifs l'ayant conduit à refuser de donner suite à sa demande.
Dans le quatrième alinéa de cet article , remplacer : « plus de deux mois » par : « plus d'un mois ».
Exposé des motifs
Amendement rédactionnel visant à harmoniser cet alinéa avec la modification proposée au premier alinéa de l'article .
Article 100
Rédiger ainsi le premier alinéa de cet article :
« La demande peut être effectuée soit par écrit, soit sur place, à la demande de l'intéressé. »
Exposé des motifs
C'est au citoyen qui exerce son droit d'accès d'en déterminer librement les modalités.
Rédiger ainsi le deuxième alinéa de cet article :
« Lorsque le droit d'accès est exercé sur place, la consultation des pages-écrans immédiatement accessibles comportant des données à caractère personnel concernant le demandeur est de droit, sous réserve du respect du droit des tiers. Sauf disposition législative ou réglementaire contraire, une copie de ces pages-écrans peut être obtenue immédiatement. »
Exposé des motifs
La rédaction proposée par le projet de décret prévoit que la consultation des pages-écrans lors de l'exercice sur place du droit d'accès ne serait plus « de droit » mais soumise à l'appréciation du responsable du traitement, ce qui pourrait conduire le citoyen à rencontrer de réelles difficultés en la matière.
Par ailleurs, la disposition selon laquelle les données doivent être « relatives au demandeur » soulève des difficultés d'interprétation. En effet, ces termes n'ont pas de signification au regard de la loi « informatique et libertés » qui se réfère aux données « concernant » le demandeur, ce qui est différent.
En outre, le fait que des données concernant des tiers figurent sur un document ne doit pas empêcher le demandeur d'avoir accès aux données le concernant. En effet, c'est au responsable du traitement de prendre des mesures pour assurer la confidentialité des données concernant les tiers.
Cet alinéa, s'il était maintenu en l'état, rendrait l'exercice du droit d'accès sur place quasiment impossible et donnerait de nombreux arguments au responsable du traitement pour refuser de communiquer les données au demandeur. Une telle limitation du droit le plus symbolique de la loi « informatique et libertés » ne peut donc qu'apparaître excessive.
Rédiger ainsi le dernier alinéa de cet article :
« La demande de délivrance de copies d'informations contenues dans ce traitement de données à caractère personnel désigne, le cas échéant, le traitement ou les catégories de données dont la copie par extrait est demandée. »
Exposé des motifs
En pratique, les demandes de droit d'accès sont faites en une seule fois, tant pour savoir si des données sont enregistrées que pour en obtenir une copie. Le demandeur ne connaît donc pas nécessairement le traitement ou les catégories de données exactement concernés.
Cet alinéa aurait pour conséquence, s'il était maintenu, de rendre quasiment impossible la délivrance de copies.
Article 12
TITRE VII
DES TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL
VERS DES ÉTATS N'APPARTENANT PAS À LA COMMUNAUTÉ EUROPÉENNE
Chapitre Ier
Formalités préalables incombant aux responsables
de traitements envisageant un transfert de données à caractère personnel
Article 106
Supprimer le second alinéa de cet article .
Exposé des motifs
Cet article prévoit d'encadrer les conditions dans lesquelles la CNIL délivre les autorisations et les avis relatifs aux transferts internationaux de données en application de l'article 69 de la loi du 6 janvier 1978 modifiée. A cet effet, il crée un strict parallèle entre, d'une part, les décisions et avis émis par la CNIL sur la base de l'article 69 et, d'autre part, les autorisations émises sur la base de l'article 25 et les avis fondés sur l'article 28.
Or, un strict parallélisme ne paraît pas souhaitable puisqu'il risque d'alourdir de manière inopportune des règles qui sont déjà perçues, à juste titre, comme excessivement complexes en matière de transferts internationaux de données.
En l'absence d'exception au caractère systématique d'une telle procédure, celle-ci pourrait ainsi constituer un obstacle à d'éventuelles simplifications telles que celles réalisées par l'extension des normes simplifiées 46 et 48, qui prévoient que les autorisations de transferts issus des traitements relevant de ces normes sont réputées accordées, dans certaines conditions, dès réception de l'engagement de conformité à ces normes.
L'extension de ces normes simplifiées, qui encadrent de manière stricte les conditions dans lesquelles les responsables de traitements peuvent transférer des données à caractère personnel hors de la Communauté européenne, a constitué une importante mesure de simplification des formalités préalables à effectuer en la matière. Il serait regrettable de priver tant les responsables de traitements que la CNIL du bénéfice de telles mesures de simplification.
Article 108
Supprimer cet article .
Exposé des motifs
La CNIL souhaiterait voir supprimé le premier alinéa de cet article , qui prévoit les conditions dans lesquelles des transferts issus de traitements exonérés de déclaration par la loi doivent néanmoins faire l'objet d'une autorisation par la CNIL, pour les mêmes raisons que celles évoquées à l'article 106.
En effet, il ne paraît pas souhaitable de formaliser ces conditions de manière si précise. En l'absence d'exception au caractère systématique d'une telle procédure, notamment pour les traitements effectués par des organisations ayant désigné un correspondant, aucune mesure de simplification des procédures applicables ne serait envisageable pour des transferts qui pourraient pourtant ne comporter aucun élément dangereux pour les personnes dont les données à caractère personnel seraient transférées. Il serait, là encore, regrettable de priver tant les responsables de traitements que la CNIL du bénéfice de telles mesures de simplification.
La CNIL demande également la suppression du deuxième alinéa de cet article , qui prévoit que le responsable de traitement est tenu d'informer les personnes intéressées des informations figurant à l'article 91 préalablement au transfert de données envisagé.
Cette demande de suppression procède d'un souci d'économie réglementaire, la loi étant suffisamment précise sur la question du moment où l'information des personnes sur les transferts de leurs données doit intervenir. En effet, l'article 32-I (7°), de la loi du 6 janvier 1978 modifiée prévoit d'ores et déjà que l'information des personnes doit s'effectuer préalablement aux transferts, puisque cette disposition fait recours à la mention des transferts de données à caractère personnel « envisagés » à destination d'un Etat non membre de la Commission européenne. La nécessité que l'information des personnes soit préalable aux transferts eux-mêmes est donc d'ores et déjà prévue par la loi.
La rédaction de l'article 32-III relative à l'information des personnes dont les données à caractère personnel n'ont pas été directement recueillies auprès d'elles est suffisamment large pour englober les questions de transferts internationaux. Ainsi une telle information devra être communiquée, « si une communication à des tiers est envisagée, au plus tard lors de la première communication des données ». Il ne semble dès lors pas nécessaire que le décret précise davantage ces dispositions de la loi qui paraissent, dans chaque hypothèse, suffisamment claires.
La CNIL demande enfin la suppression du troisième alinéa de cet article . Celui-ci prévoit que le responsable d'un traitement exonéré de déclaration du fait de la désignation d'un correspondant à la protection des données, mais qui serait toutefois soumis à la procédure de demande d'autorisation de transfert, doit procéder concomitamment aux formalités de déclaration.
Cette suggestion de suppression procède d'un souci de pragmatisme. Elle vise à préserver la possibilité d'adopter des mesures de simplification des procédures applicables en matière de transferts internationaux de données issus de traitements mis en oeuvre par des organisations ayant désigné des correspondants. En effet, il sera parfois possible d'apprécier la portée d'un transfert au vu des seules informations communiquées à la CNIL sur la base des articles 104, 105 et 106, premier alinéa, du projet de décret, sans imposer systématiquement la déclaration préalable de l'intégralité du traitement dont un transfert pourra être issu. Il semble donc inopportun d'imposer de manière systématique cette obligation de déclaration par voie réglementaire à ces organismes.
Chapitre II
Information des responsables de traitements,
du public et des autorités européennes
Article 110
Supprimer cet article .
Exposé des motifs
Cet article a pour objet de définir les conditions et, plus spécifiquement, les délais dans lesquels les responsables de traitements, les autorités européennes de protection des données et la Commission européenne sont informés des autorisations et des avis portant sur des transferts délivrés par la CNIL, ou d'éventuelles décisions de suspension de ces transferts.
La CNIL sollicite la suppression de cet article en n'estimant pas opportun que cette information soit encadrée dans des délais très stricts, qui risquent d'alourdir de manière excessive des procédures qui, comme il a déjà été rappelé plus haut, sont déjà complexes. En outre, comme la directive 95/46 /CE du 24 octobre 1995 en laisse la faculté aux Etats membres de la Communauté européenne, et comme le prévoit l'article 69 de la loi du 6 janvier 1978, il appartient à la CNIL d'informer la Commission européenne des autorisations de transfert qu'elle délivre. Cette information pourra, en pratique, être effectuée concomitamment à l'information des autres autorités de contrôle européennes, dont le projet de décret prévoit bien qu'elle incombe à la CNIL.
Le président,
A. Türk