Sophie Joissains, la rapporteure du projet de loi RGPD pour le Sénat, nous a confié que les groupes LR et UC étaient favorables à ce que le texte soit transmis au Conseil constitutionnel à l’issue de la navette parlementaire.
Coup politique ou véritable contestation de fond ? Depuis que le président de la commission des finances du Sénat, Philippe Bas (LR), a laissé entendre qu’il saisirait les « Sages » de la Rue de Montpensier, les députés de la majorité ont réagi de manière plutôt bienveillante. Tout du moins en façade.
« Personne n'a à craindre des décisions du Conseil constitutionnel, bien au contraire ! Si nos textes peuvent être conformes à la Constitution, c'est bien le minimum qu'on puisse faire », a ainsi déclaré la présidente de la commission des lois, Yaël Braun-Pivet (LREM), mardi 10 avril. Philippe Latombe, du groupe Modem, l’a rejoint lors des débats en séance publique, affirmant que cela serait « une belle occasion de renforcer définitivement la valeur de ce texte en le purgeant de tout doute d’anticonstitutionnalité ».
Dans les couloirs du Palais Bourbon, cependant, certains parlementaires dénoncent une « attitude belliqueuse » de la part de la Haute assemblée – échaudée suite à l’échec, le 6 avril dernier, de la commission mixte paritaire chargée de trouver un accord sur le projet de loi RGPD.
« On est en train d’y travailler. Ce n’est pas encore bouclé »
Mais sur quoi portent donc les suspicions des sénateurs ? « On est en train d’y travailler. Ce n’est pas encore bouclé », explique Sophie Joissains. L’élue centriste nous avait déjà confié qu’elle attendait de voir les dispositions qui seraient rétablies (ou non) par les députés, jeudi 12 avril, dans le cadre de la nouvelle lecture.
Le Palais du Luxembourg lorgne désormais sur trois points en particulier :
- L’article 14, qui permet à l’administration de prendre (dans certaines conditions) des décisions individuelles « sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage ». De telles dispositions pourraient se révéler contraires à certains principes constitutionnels, dans le prolongement de la jurisprudence du Conseil d’État, selon laquelle « il revient aux autorités administratives de se livrer à un examen particulier des données propres à chaque dossier ».
- L’article 23, qui a trait aux modalités d’effacement des données inscrites dans le fichier TAJ (pour « traitement d’antécédents judiciaires »). Sophie Joissains estime que les dispositions votées par les députés portent une atteinte disproportionnée au droit au respect de la vie privée, dans la mesure où certaines « garanties » voulues par le Sénat n’ont pas été retenues : délai de réponse aux demandes de rectification et d'effacement fixé à un mois, etc.
- L’article 11, qui étend la liste des personnes autorisées à mettre en œuvre des fichiers pénaux. La rapporteure du Sénat considère que la copie des députés manque de précision, notamment sur le contrôle de l’accès à ces fichiers, ce qui serait une potentielle source d’incompétence négative de la part du législateur.
Le Sénat songe par ailleurs à demander au Conseil constitutionnel si une autorité administrative comme la CNIL peut infliger des sanctions à une collectivité territoriale. Les élus de la Haute assemblée pourraient enfin s’attaquer à quelques mesures ayant été adoptées en contrariété avec la procédure parlementaire (de type cavalier législatif).
Une saisine prévue « a priori » pour mi-mai
D’après Sophie Joissains, il devrait « a priori » avoir de quoi déférer le projet de loi RGPD aux juges de la Rue de Montpensier. Rien n’est encore validé dans le détail, mais l’élue centriste soutient que les groupes Les Républicains et Union Centriste y sont d’ores et déjà favorables. Autant dire qu’il ne devrait pas être très compliqué de trouver 60 parlementaires, parmi les près de 200 que comptent les deux groupes, pour porter cette saisine du Conseil constitutionnel.
Quant à ceux qui craignent qu’une telle procédure vienne contrarier le respect du RGPD, applicable à compter du 25 mai, la rapporteure du Sénat rétorque que le texte sera d’application directe dans tous les États membres, quand bien même le projet de loi français n’aurait pas encore été promulgué.
Les députés examineront le texte le 14 mai prochain. En cas de saisine, ce dernier disposerait en principe d’un délai d’un mois pour statuer. « Le juge sait travailler rapidement » souligne néanmoins Sophie Joissains, l’institution pouvant être appelée à se prononcer sous huit jours sur demande du gouvernement. Une parution au Journal officiel avant le 25 mai serait alors encore possible.
Commentaires (13)
#1
Nan mais attendez les “Sages” ne vont rien y comprendre. Déjà que pour eux il faut remettre le code de son téléphone en garde à vue en se basant sur une loi qui n’a aucun rapport avec ce code….
#2
« Personne n’a à craindre des décisions du Conseil constitutionnel, bien au contraire !
Si nos textes peuvent être conformes à la Constitution, c’est bien le minimum qu’on puisse faire »
ah oui ?
rien que pour ça*………ce texte MÉRITERAIT d’être transmit au C.Const. !
* pour savoir s’il est conforme…..ou pas ?
(puisqu’ils sont, si sûrs d’eux)
#3
Alors oui, le RGPD est d’application directe, mais de nombreuses dispositions sont laissées à l’appréciation des Etats membres, dont l’étendue des pouvoirs de la CNIL et la coopération inter autorités. La CNIL désarmée le 25 mai vous dites ?
#4
#5
Il n’y a rien qui est prévu pour aider les petites communes à appliquer le RGPD…
Ils n’expliquent pas la procédure pour désigner le DPO dans les collectivités…
#6
https://www.nextinpact.com/brief/declarez-votre-delegue-a-la-protection-des-donnees–dpo–en-ligne-aupres-de-la-cnil-3309.htm
#7
Ce que je voulais dire, c’est que cela va retarder l’entrée en application de l’entièreté de la loi informatique et libertés, essentielle pour cadrer les pouvoirs de la CNIL.
La situation serait donc compliquée, si la CNIL ne possédait pas tous les pouvoirs qu’est censé lui donner le RGPD le 25 mai 2018, parce que notre système législatif n’aurait pas pu produire la LIL 3 à temps.
#8
Le report de quelques semaines ne va pas changer grand chose, je doute que la CNIL souhaite utiliser ses nouveaux pouvoir dans les prochaines semaines.
Les sanctions prévues dans la loi européennes sont assez importante pour que l’ensemble de l’industrie bouge d’elle même.
La CNIL ne prendra juste pas de décision administrative sujettte à recours tant que la loi n’aura pas été votée.
#9
Oui, sauf si quelque chose est prévu au niveau du G29 et de la coopération inter autorités comme, au hasard, au sujet de Google. Le fait qu’une autorité centrale du G29 comme la CNIL soit démunie pourrait empêcher le déclenchement d’actions qui avaient été prévues en amont…
#10
potentielle source d’incompétence négative de la part du législateur
Un incompétence négative ? Donc une compétence positive ? On parle des députés là ?
Sérieusement, ça signifie quoi ?
#11
en gros tu peux pas faire une loi n’importe comment tant sur le fond que la forme. Le législateur ne peut pas faire une loi incompréhensible / imprécise
#12
On parie ?
" />
Merci pour la précision.
#13
Je pense pas qu’il cherche à savoir comment désigner (en ligne ou non) son DPO, mais qui désigner; pour les traitements relavant d’EPA et d’EPIC c’est parfois très compliqué de savoir qui désigner, pour les communes c’est relativement simple (avec quelques exceptions s’agissant de traitements mis en oeuvre dans le cadre d’une délégation sur partenariat avec les administrations d’Etat, en premier lieu avec la Pref.).
Néanmoins pour des petites communes où bien souvent le Maire fait avec les moyens du bord, un guide de la CNIL ne serait pas du luxe.
Dommage également qu’à quelques semaines de l’entrée en vigueur, la CNIL ne donne toujours pas une définition précise de la notion de traitement à grande échelle qui est le critère principal imposant la désignation d’un DPO dans le privé, renvoyant à ligne directrice du “Comité”, document qui entre l’entreprise familiale et l’entreprise traitant des données à l’échelle d’une ville (avec nécessairement du profilage?) laisse une grande zone grise où on ne sait pas si on doit ou non désigner un DPO.