2

Le traitement des données de l’État : une exception dommageable

< Rapport d'information de la commission des affaires européennes >

Conformément à la logique de responsabilisation des responsables de traitement et des sous-traitants, le règlement prévoit que, « compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques (37) », ils mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Ces mesures techniques peuvent être de l’ordre de la pseudonymisation ou de l’anonymisation et le chiffrement des données à caractère personnel, ainsi que les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.

Pour assurer cette sécurité du traitement, le projet de loi prévoit, en son article 1er, la capacité de la CNIL à mettre en place des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données de santé. Elle peut ainsi « prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé » et « des garanties complémentaires en matière de traitement de données d’infraction ».

Votre rapporteure estime nécessaire que la CNIL puisse en effet disposer d’instruments plus contraignants que les seules recommandations en vue d’assurer la sécurité de traitement des données à caractère personnel. Elle comprend également l’exception faite pour « les traitements mis en œuvre par l’État, agissant dans l’exercice de ses prérogatives de puissance publique. » Il demeure que l’État, dans le champ de toutes ses autres actions, doit demeurer sous le contrôle de la CNIL. Votre rapporteure salue à ce titre le II de l’article 9 du projet de loi, qui maintient et ajoute un régime spécifique d’autorisation (décret en Conseil d’État pris après avis motivé et publié de la CNIL) pour certains traitements de l’État, à savoir les traitements de données à caractère personnel mis en œuvre pour le compte de l'État, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes. Cette disposition introduit une forme de complémentarité avec l’exonération précédente.

< Rapport d'information de la commission des affaires européennes >