Philippe Le Ray
Question N° 67495 au Secrétariat d'état au numérique
Question soumise le 28 octobre 2014
M. Philippe Le Ray attire l'attention de Mme la secrétaire d'État, auprès du ministre de l'économie, de l'industrie et du numérique, chargée du numérique, sur le rapport du conseil d'État intitulé « le numérique et les droits fondamentaux ». Au regard de la mise en réseau de plus en plus de données les auteurs du rapport préconisent de créer pour les catégories de traitements présentant les risques les plus importants une obligation de certification par un organisme tiers indépendant et accrédité par l'autorité de contrôle. Il lui demande les intentions du Gouvernement sur ce point.
Réponse émise le 13 décembre 2016
L'étude publiée par le Conseil d'Etat en septembre 2014 et intitulée « le numérique et les droits fondamentaux » fournit une revue très riche des nombreux sujets ayant trait au numérique et aux libertés fondamentales (big data, santé numérique, open data, puissance des algorithmes, etc.). La grande majorité des propositions émises par le Conseil d'Etat appellent un accueil favorable et plusieurs d'entre elles sont d'ailleurs mises en œuvre, notamment dans le cadre de la loi pour une République numérique promulguée le 7 octobre 2016. Cette loi engage la France dans une démarche d'ouverture et d'accès à l'information inégalée en Europe, afin de tirer pleinement parti de l'économie de la donnée. Elle pose en outre les fondements d'une société numérique qui concilie innovation, confiance et inclusion du plus grand nombre. L'étude du Conseil d'Etat préconisait de créer pour les catégories de traitements présentant les risques les plus importants une obligation de certification par un organisme tiers indépendant et accrédité par l'autorité de contrôle. Par son article 60, la loi pour une République numérique permet à la commission nationale de l'informatique et des libertés (CNIL) de « certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité [à la loi « informatique et libertés »] de processus d'anonymisation des données à caractère personnel ». La CNIL pourra ainsi mettre en place un schéma de certification (qu'elle confiera vraisemblablement à un organisme tiers indépendant) afin de faire certifier la conformité des procédés d'anonymisation des données à caractère personnel à la loi « informatique et libertés ». S'agissant de certification, le choix est fait de promouvoir la mobilisation volontaire et la responsabilisation des acteurs, à l'exclusion de tout système obligatoire et imposé. Pour ce qui concerne les traitements de données personnelles qui présenteraient le plus de risques en matière d'atteintes aux libertés, il convient de souligner que le règlement européen no 2016/679 relatif à la protection des données à caractère personnel établit de nouvelles règles et garanties : désignation d'un délégué à la protection des données, étude obligatoire d'analyse des risques, saisine préalable de l'autorité de régulation. Ce règlement entrera en vigueur à compter de mai 2018.
Aucun commentaire n'a encore été formulé sur cette question.