Une saisine obligatoire de la CNIL, une bonne idée facilement contournée

Des sénateurs UMP (et une UDI) ont déposé une proposition de loi intéressante. Les textes en vigueur n’étant visiblement pas respectés, elle vise à rendre bien obligatoire la saisine de la CNIL dès lors qu’un projet de loi ou un décret touche à la protection des données personnelles.

Plusieurs sénateurs de l’opposition, tels Bruno Retailleau, Catherine Morin-Desailly (UDI) ou encore Yves Detraigne, ont déposé une proposition de loi visant à clarifier une disposition de la loi Informatique et Libertés de 1978.

Selon cette loi, la Commission nationale de l'informatique et des libertés « est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements automatisés » (article 11, 4, a). Problème, cette saisine n’est pas toujours respectée : « Il devient donc nécessaire pour le législateur de bénéficier de manière systématique - ce qui n'est pas nécessairement exigé aujourd'hui - de l'avis argumenté de la Commission nationale de l'informatique et des libertés, compte tenu des conséquences que ces derniers peuvent avoir sur l'utilisation des données personnelles » argumentent les auteurs de la proposition de loi.

Le précédent de la loi de programmation militaire

Ceux-ci ont en mémoire l'article 13 (ou 20) du récent projet de loi relatif à la programmation militaire, texte qui a aiguisé la capacité des autorités à surveiller ce qui se passe sur les réseaux et son océan de données perso.

« Comme le montre ce texte, de nombreuses mesures relatives aux données personnelles peuvent passer hors du champ d'action de la Commission nationale de l'informatique et des libertés » estiment-ils. Les sénateurs veulent donc imposer une saisine « obligatoire » de la CNIL dès lors qu’un projet de loi ou un décret d’application contient au moins un article sur protection des personnes à l'égard des traitements automatisés.

L'exemple de la LPM est effectivement intéressant : à cette occasion, la CNIL elle-même avait regretté de ne pas avoir été saisie de ces dispositions par le gouvernement. La Commission exprimait tout autant le souhait d'« être systématiquement consultée pour tous les textes législatifs ou réglementaires concernant les données personnelles », soulignant du même coup la faiblesse actuelle de la loi sur ce point.

Le hic:  le contournement de la CNIL par amendement

Mais cette non-saisine officielle avait été facilement expliquée lors des débats : l'article 13 (ex article 20) a été introduit par amendement parlementaire, non dans le projet initial. Du coup, la CNIL n'avait pas été officiellement consultée ! Certes, les sénateurs Jean-Louis Carrère, rapporteur au fond, et Jean-Pierre Sueur, rapporteur pour avis, avaient assuré avoir entendu les représentants de la CNIL, « qui ont pu faire valoir leur point de vue »... Cependant, ce bug ouvre bien un risque de contournement.

Contacté, le bureau parlementaire de Bruno Retailleau le concède : même avec une loi CNIL remodelée, le gouvernement pourrait faire examiner ses projets de loi inoffensifs aux yeux de la Commission, puis faire passer en douce des amendements sur les épaules d'un parlementaire.  « On ne sait pas si le gouvernement avait eu cette volonté pour la LPM mais les faits montrent que cela peut effectivement donner des idées. »

Du coup, pour parfaire cette proposition, il faudrait aussi colmater la procédure et faire examiner les propositions de lois les amendements parlementaires par la CNIL, tout en évitant sa saturation. Pas simple ! A supposée qu'elle soit légale, cette rustine sur les amendements exigerait en outre « une proposition de résolution modifiant le règlement du Sénat » et une démarche similaire à l'Assemblée nationale. Seulement, à quelques jours de la fin de la session et à l'approche du renouvellement du Sénat, une telle initiative n'est pas encore envisagée par Bruno Retaillau qui joue d'ailleurs son siège. La seule possibilité actuelle pour la CNIL est la voie de l'auto-saisine comme elle l'avait fait sur la proposition de loi sur ldentité numérique.

Surtout, si la CNIL a été mal saisie lors de la LPM, un autre couac est à regretter :  aucun groupe de 60 députés ou 60 sénateurs, pas même ceux à l'UMP, n'a souhaité faire ausculter le texte de la LPM par le Conseil constitutionnel.