Interventions sur "CNIL"

Ma collègue Laurence Vichnievsky avait en effet proposé, lors du débat en commission des lois, de ramener le délai à six mois. Après des échanges avec M. Boudié, nous étions d'accord pour trouver un bon tempo et un bon timing pour la revoyure, et il nous semblait important, compte tenu notamment de l'avis de la CNIL, la Commission nationale de l'informatique et des libertés, de trouver une solution proportionnée, car le délai d'un an nous paraissait un peu long. Celui de neuf mois nous convient – d'où cet amendement.

Je n'ai rien dit d'autre, monsieur Gosselin. Monsieur Brindeau, le respect du principe de minimisation s'impose au législateur, sans qu'il soit nécessaire de le préciser dans la loi, dès lors qu'il est prévu par le RGPD. Par ailleurs, la minimisation des données sera appréciée in concreto par la CNIL lorsqu'elle examinera le décret en Conseil d'État prévu par l'article 6, puis dans le cadre de sa mission du contrôle de la mise en oeuvre de ses dispositions. Avis défavorable.

La situation ne manque pas de sel : Mme la rapporteure vient d'indiquer que la CNIL devra se prononcer lorsqu'elle examinera le décret en Conseil d'État prévu par l'article 6 alors que la CNIL s'est prononcée ce matin même. Je ne trahis ici aucun secret car je n'évoque ni la publication de l'avis ni la délibération. Elle s'est réunie ce matin et avait pour ordre du jour l'examen du décret d'application de la loi dont nous débattons depuis hier. Tous les calendriers se bousculent...

L'amendement no 622 vise à ajouter à la nécessité d'un décret du Conseil d'État, d'ailleurs imposé par celui-ci, un avis conforme de la CNIL, dont l'éclairage sur les libertés numériques est tout à fait pertinent, de sorte que celles-ci seraient bien protégées. L'amendement no 623 est un amendement de repli prévoyant un avis simple de la CNIL.

Il s'agit de compléter l'alinéa 2 en prévoyant la nécessité d'un avis conforme de la CNIL. Si le ministre, l'Agence nationale de santé publique, un organisme d'assurance maladie ou les agences régionales de santé peuvent être autorisés à adapter le fonctionnement du fichier collectant les données de santé, il convient qu'ils le soient après un avis contraignant et conforme de la CNIL. L'intention qui nous anime est inchangée : protéger les données des Français et leurs libertés.

Cet amendement propose une sorte de garde-fou, si vous me permettez l'expression : toute modification du fichier devrait être soumise à l'avis de la CNIL. On ne perdrait pas en efficacité, tout en garantissant que la CNIL effectuera un contrôle.

Ces amendements sont satisfaits. La CNIL rendra un avis sur le décret. Elle peut par ailleurs contrôler le dispositif avant le déploiement, pendant la phase opérationnelle puis après la phase opérationnelle. Elle pourra par exemple examiner les questionnaires utilisés. Demande de retrait ou avis défavorable.

L'obligation d'un avis de l'autorité régulatrice est inscrite dans le RGPD. La CNIL sera donc bien saisie. Je renouvelle ma demande de retrait.

Dans le même esprit, cet amendement, qui reprend une préconisation de la CNIL, vise à interdire la conservation des données recueillies au-delà d'un mois. Cette période est suffisante pour une lutte efficace contre la pandémie. Nous nous préserverions ainsi des risques que présente un fichier mal maîtrisé.

J'ai expressément posé la question de l'encadrement de la conservation des données à la présidente de la CNIL lors de son audition devant la commission des lois : elle a indiqué qu'une durée d'un an – et non d'un mois – était proportionnée.

Défavorable. Cela relève davantage du décret en Conseil d'État, sur lequel la CNIL devra se prononcer. C'est cette dernière qui s'assurera des conditions de sécurisation des données, notamment pour ce qui concerne le stockage.

Il vise à limiter au maximum les informations recueillies, et donc à s'en tenir à l'identité et aux données virologiques, à l'exclusion des autres données de santé. C'est ce qu'a recommandé la présidente de la CNIL lors de son audition – notre collègue Laetitia Avia pourra le confirmer.

C'est bien le principe de minimisation qui sera appliqué : seules les données directement et strictement utiles à l'efficacité du dispositif pourront être renseignées. Les comorbidités sont exclues de ce champ, la CNIL ayant fortement insisté sur ce point. J'émets donc un avis défavorable.

Ce sujet suscite chez moi de vraies questions. Le débat a été annoncé – aux dernières nouvelles, il se tiendrait les 25 et 26 mai, pour un lancement de l'application le 2 juin, si l'on en croit le ministre Cédric O. Cependant, il me semble bien que dans sa délibération du 24 avril, la CNIL a demandé que son déploiement fasse l'objet d'un texte législatif. Il ne faut d'ailleurs pas considérer son avis comme un blanc-seing, mais plutôt comme un cahier des charges – ce qui est logique, puisque la commission a été consultée sur un projet, et non sur l'application en tant que telle. Il serait donc souhaitable de répondre à sa sollicitation. En effet, même suivi d'un vote, un simple déba...

...que le débat et le vote aient lieu sur le fondement d'un texte législatif, parce que j'ai entendu le Premier ministre tenir au Sénat des propos quelque peu différents de ceux qu'il avait eus ici, en affirmant qu'il n'était pas besoin d'une loi. Or, quand bien même il n'y aurait pas juridiquement besoin d'une loi – cela se discute, ce que M. Gosselin vient de dire concernant l'avis divergent de la CNIL le montre – , une loi peut s'avérer nécessaire sur le plan politique. Le groupe de la Gauche démocrate et républicaine considère qu'un sujet aussi sensible et qui suscite autant de débats implique une nécessité politique de légiférer : un texte nous permettra de travailler précisément et d'éviter un débat qui restera par définition très général, s'il n'est pas adossé à un texte.

... de rendre le système d'information traçable ; dès lors que cette base de données sera très largement accessible, il est impératif que chaque utilisateur puisse justifier de chacun de ses accès, chacune de ses actions. Je pense que les outils numériques rendent possible une telle précaution. Une mesure semblable est peut-être prévue dans le décret, malheureusement ne sera soumis qu'à l'avis de la CNIL : il aurait été intéressant que nous puissions en consulter le projet.

...le IV de l'article, du système d'information mis en place à l'alinéa 1. Nous parlons beaucoup, dans nos débats, du nouveau système d'information, qui s'est d'ailleurs dédoublé, mais l'on oublie que d'autres fichiers mentionnés à l'alinéa 2 devront être adaptés et partagés. On nous dit que ces dispositions pourront être prises par décret. Soit. Mais nous souhaitons également obtenir un avis de la CNIL pour éviter que l'on crée des catégories différentes pour des dispositifs visant des finalités identiques.

L'amendement vise à rappeler l'exigence de suivi permanent du système d'information par la CNIL.

L'amendement de Mme Claire Pitollat souhaite rétablir le V de l'alinéa 15. Il s'agit d'établir une charte pour les 40 000 personnes qui travailleront dans ces équipes, qui ne seront pas toutes soumises au secret médical ni bien formées. Cette charte, rédigée par l'Agence nationale de santé publique en lien avec la CNIL, vise à les protéger et à les informer de la réglementation ; ils devront la signer.

...Je dis cela en souriant, mais je partage l'avis de certains de nos collègues quant à la place prééminente qui devrait être celle du Parlement dans ce contrôle. Cependant, c'était l'objet de l'amendement précédent, que je ne commente pas puisqu'il a malheureusement été rejeté. Quoi qu'il en soit, il me paraît important d'assurer la coordination des travaux de ce comité avec ce que fait et fera la CNIL. Il n'est pas question qu'un comité ait sa propre jurisprudence ou puisse court-circuiter une des plus anciennes autorités administratives indépendantes. La CNIL existe effet depuis la loi de 1978 relative à l'informatique, aux fichiers et aux libertés. Je ne reviendrai pas sur l'épisode des fichiers SAPHIR, qui avait suscité beaucoup d'émois ; je ne voudrais pas faire de transposition malheureu...