La commission des lois de l’Assemblée nationale a commencé à examiner hier soir le projet de loi adaptant le droit français au règlement européen sur la protection des données personnelles (RGPD). Plusieurs amendements en lien avec la CNIL ont été adoptés, dont un qui permettra aux commissions parlementaires de saisir l’institution.

Bien que d’application directe à compter du 25 mai prochain, le RGPD conduit actuellement la France à « mettre à jour » sa loi Informatique et Libertés. Les débats engagés cette semaine permettront par ailleurs au législateur de faire différents choix à partir des marges de manœuvre laissées par le texte européen (par exemple en matière d’action de groupe).

Certains députés en ont aussi profité aussi pour porter différentes propositions concernant notamment la Commission nationale de l’informatique et des libertés (CNIL).

Davantage de compétences requises pour intégrer le collège de l’institution

La commission des lois a ainsi adopté hier un amendement élevant le niveau de compétences requises pour rejoindre le collège de l’autorité administrative indépendante (en tant que personnalité qualifiée). Les cinq individus désignés par le gouvernement et les présidents des assemblées devront à l’avenir être choisis en raison de « leur connaissance du numérique et des questions touchant aux libertés individuelles ». Et non plus l’un ou l’autre...

« Avec la complexification de la matière, il est maintenant indispensable que les personnalités qualifiées aient cumulativement ces deux compétences », a fait valoir le député Sébastien Huyghe (LR), qui avait déposé un amendement identique à celui de son collègue Philippe Gosselin et de la rapporteure Paula Forteza (LREM).

Le vote de ces dispositions a mécaniquement fait « tomber » un amendement soutenu par La France Insoumise (LFI) en vue de revoir de fond en comble les conditions de nomination des dix-huit membres de la CNIL. Aujourd’hui, l’institution est principalement composée de représentants de parlementaires, de magistrats, de membres du Conseil économique, social et environnemental (voir le détail)...

Le groupe de Jean-Luc Mélenchon souhaitait que tous ces individus soient dorénavant désignés « eu égard à leurs compétences réelles, notamment en matière numérique et en connaissance des droits et libertés fondamentales ». Afin d’assurer le respect de cette exigence, il était proposé de faire toute la transparence sur la procédure de sélection des heureux élus.

Comment ? Tout d’abord en obligeant les autorités proposant des candidats à publier une évaluation des compétences de ceux-ci, selon un barème allant de 1 à 10. Une « audition face à un jury composé à parité de députés du Sénat et de l’Assemblée nationale, d’experts issus de la société civile, de membres d’organisations non-gouvernementales spécialisées en matière numérique et en matière de protection des libertés, de citoyens tirés au sort sur la base du volontariat » aurait ensuite permis d’auditionner les prétendants, et d’émettre dans la foulée « un avis consultatif rendu public ».

« Cet amendement va dans le sens d’un renforcement d’une institution au rôle de plus en plus central et participe à sa crédibilisation » faisaient valoir les députés LFI, qui pourraient néanmoins le redéposer en vue des débats en séance publique.

Le retour de la saisine parlementaire de la CNIL

Écartée dans le cadre des débats sur la loi Numérique, la procédure de saisine parlementaire de la CNIL fait son grand retour. Alors que la copie du gouvernement autorise les présidents des assemblées à consulter l’autorité administrative sur toute proposition de loi « relative à la protection des données à caractère personnel ou au traitement de telles données », la commission des lois a souhaité offrir également ce pouvoir aux « commissions compétentes de l’Assemblée nationale et du Sénat ».

La députée Danièle Obono (LFI) a toutefois tenté d’élargir ce dispositif aux députés et sénateurs, afin de garantir les droits de l’opposition. En vain. La rapporteure Paula Forteza s’est opposée à son amendement, préférant le « bon équilibre » qui venait d’être introduit sur son impulsion. « Cela va un peu trop loin » a-t-elle fait valoir, soutenant que la CNIL n'aurait « pas les moyens de répondre aux saisines de chaque député et chaque sénateur ».

La commission a donc rejeté cet amendement, qui prévoyait au passage une ouverture de cette saisine de la CNIL aux associations agréées.

Afin de faciliter le travail de la CNIL, la commission des lois a approuvé un amendement de la rapporteure qui permettra à l’institution de déléguer à son secrétaire général « l'exercice de sa mission consistant à informer les auteurs de plaintes ou de réclamations des suites données à celles-ci ».

L’amendement LFI qui prévoyait que les délibérations de la gardienne des données personnelles soient « diffusées en direct sur le site Internet de la commission » (et restent disponibles ensuite en replay) n’a en revanche pas été adopté.

Il en va de même pour celui qui confiait à l’institution la mission d’informer le public – et plus particulièrement les élèves – « quant aux enjeux du numérique sur leurs droits et libertés fondamentales et les moyens de faire pleinement valoir ceux-ci ». Paula Forteza a cette fois-ci affirmé qu’elle partageait l’objectif visé par Danièle Obono, mais que cette sensibilisation « devrait plutôt être intégrée au cursus formel, officiel, de l'éducation nationale – où la CNIL pourrait peut-être venir en soutien avec des contenus », au lieu qu’on lui confie de nouvelles missions.

Plus de 170 amendements restent à examiner par la commission des lois. Les débats reprendront cet après-midi, à 16h30.

Vers un meilleur contrôle des fichiers de renseignement ?

On notera enfin que les députés n’auront finalement pas à débattre d’un amendement de la rapporteure qui visait à élargir le droit de regard de la CNIL sur les traitements intéressants la sûreté de l’État. Actuellement, huit fichiers échappent sur cette base à la gardienne des données personnelles, selon Paula Forteza :

« Le fichier de la direction générale de la sécurité intérieure (DGSI), le fichier de la direction générale de la sécurité extérieure (DGSE), le fichier SIREX de la direction du renseignement et de la sécurité de la défense (DRSD), le fichier de la direction du renseignement militaire (DRM), le fichier BCR-DNRED de la direction nationale du renseignement et des enquêtes douanières (DNRED), le fichier de personnes étrangères mis en œuvre par la DRM, le fichier dénommé Gestion du terrorisme et des extrémismes violents (GESTEREXT) mis en œuvre par la préfecture de police et le fichier dénommé “ BIOPEX ” mis en œuvre par la DRM ».

« Compte tenu des quantités de données qui abondent les fichiers de renseignement, il est indispensable de renforcer le contrôle de leur mise en œuvre » faisait valoir l’élue dans son exposé des motifs. Était ainsi imaginé un dispositif de contrôle confidentiel, « en coopération avec la Commission nationale de contrôle des techniques de renseignement », afin d’apprécier « les conditions de mise en œuvre globale [de ces fichiers] au regard de la loi « Informatique et libertés » : catégories de données collectées, durée de conservation, destinataires de ces données, mesures de sécurité apportées au traitement ou encore éventuels interconnexions et transferts de données entre fichiers... »

Paula Forteza a cependant retiré son amendement avant discussion, la ministre de la Justice ayant considéré lors de son audition introductive que les garanties actuelles étaient « suffisantes ». « Aller au-delà (...) risquerait de fragiliser considérablement leur alimentation [des fichiers, ndlr] et leur fonctionnement » a déclaré Nicole Belloubet, le gouvernement craignant pour la protection du secret entourant le travail des services de renseignement.

« Suite à la réponse de la ministre, nous allons mener des auditions complémentaires entre la commission et la séance pour évaluer de façon plus précise le dispositif existant (armées, CNCTR...) » nous confie la députée.