Le RGPD entrera en application le 25 mai 2018. Le texte d’application directe exigera néanmoins des adaptations internes en particulier sur un point sensible : l’âge à partir duquel un mineur peut valablement consentir à ce que ses données soient traitées par Facebook ou Twitter. En France, la question est soumise à arbitrage gouvernemental.
Le futur cadre du règlement général sur la protection des données personnelles « doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique », dixit la CNIL. Et pour cause, un texte unique à l’ensemble des États membres assurera, en théorie, la suppression des brèches législatives dans lesquelles se faufilaient jusqu’à présent les géants de l’industrie notamment.
Toutefois, les États membres n’auront pas à se contenter d’attendre patiemment le terme du 25 mai. Plusieurs dizaines de dispositions du RGPD vont exiger une remise à niveau de la législation interne ou des choix. Dans le corps même du texte, il y a ainsi quinze occurrences « les États membres peuvent » (prévoir, adopter, intégrer, empêcher, etc.), laissant chacune des options d'adaptation, sans compter les dispositions relatives à l'indépenance des autorités de contrôle.
L’exemple symptomatique est celui de l’âge à partir duquel un mineur pourra validement donner son consentement à ce que ses données personnelles puissent être avalées par les estomacs de Facebook, Instagram ou Twitter. L’article 8 du règlement fixe ce seuil à 16 ans, mais il laisse aux États membres la liberté de descendre jusqu’à 13 ans.
Une Europe divisée sur le seuil du consentement des mineurs
D’ores et déjà, le Royaume-Uni a décidé d’opter pour ce palier minimal au motif que ce niveau est « conforme à l'âge du consentement déjà fixé par contrat par les services les plus populaires de la société de l'information qui (…) sont accessibles aux enfants ». Comme si Facebook et les autres acteurs ne pouvaient adapter leurs conditions générales d’utilisation ou que la pratique devait obligatoirement l’emporter sur le droit.
Malgré un règlement unique, l’Europe est finalement divisée en deux blocs avec d’un côté des pays favorables à ce niveau minimal comme le Royaume-Uni, l’Irlande, l’Espagne, la Pologne, etc. De l’autre, des États tels l’Allemagne, les Pays-Bas, la Hongrie, etc. qui plaident pour les 16 ans.
Selon nos sources, le réseau social est loin de rester contemplatif face à ces divisions. Il milite ainsi activement auprès des autorités françaises pour que le pays rejoigne le premier groupe.
La CNIL évasive sur le seuil retenu, l'option de l'ordonnance
Contactée, la CNIL reste évasive sur l’option qui sera en définitive retenue : « à ce stade, le choix français n’est pas connu puisqu’il dépendra des arbitrages du gouvernement puis des discussions au Parlement. Comme vous le savez, la CNIL sera saisie pour avis d’un projet de texte relatif à la refonte de la loi informatique et libertés, suite au RGPD ».
Selon une source parlementaire de Contexte, c’est la députée LREM Paula Forteza qui serait rapporteure et le Conseil d’État devrait être saisi pour avis dans les deux semaines à venir. Selon nos informations néanmoins, une autre piste est envisagée pour parer au plus pressé. Celle de l’ordonnance, à l’image de la réforme du Code du travail.
Un tel véhicule permettrait au gouvernement, après habilitation, de publier directement au Journal officiel ces dispositions relevant en principe du domaine de la loi. Un projet de loi de ratification viendrait alors fermer le ban dans les temps.
