Les députés ont achevé, peu après minuit, l’examen du projet de loi adaptant le droit français au Règlement européen sur la protection des données personnelles (RGPD). Compte rendu des débats de cette nuit.
Après deux jours de discussions en séance publique, l’Assemblée nationale aura adopté un peu plus de 40 amendements au texte porté par Nicole Belloubet, la ministre de la Justice (sur près de 180). Et pour cause : les travaux en commission avaient déjà conduit les élus du Palais Bourbon à modifier substantiellement certains passages du « projet de loi RGPD » (voir nos deux articles).
Si les débats de mardi ont principalement porté sur la CNIL, ceux d’hier se sont révélés bien plus variés : action de groupe, âge légal du consentement des mineurs, introduction d’un « droit moral » de chaque individu sur ses données personnelles, sensibilisation des élèves au numérique, etc.
Pas de nouvel élargissement de l’action de groupe en matière de données personnelles
Jusqu’ici limitée à la cessation d’un manquement à la loi Informatique et Libertés (par exemple le colmatage d’une fuite de données), l’action de groupe en matière de données personnelles devrait à l’avenir permettre aux victimes de réclamer une réparation de leur préjudice, matériel comme moral. L’Assemblée s’est en effet opposée à un maintien du statu quo, qui aurait pourtant été préféré par quelques élus Les Républicains au nom de l’attractivité économique de la France.
En revanche, les députés ont refusé de revoir la liste, plutôt restreinte, des organisations pouvant engager une telle procédure devant la justice. Des élus de l’opposition et du Modem demandaient que dans certains cas de figure (par exemple s’il « n’existe pas d’association compétente ou ayant un intérêt à agir », ou si l’organisation sollicitée « reste inactive et n’agit pas en justice même quinze jours après mise en demeure par les usagers susvisés »), des individus victimes d’un même manquement puissent se tourner vers les tribunaux, via un avocat.
La rapporteure et le gouvernement se sont opposés à cette proposition au motif que l’article 80 du RGPD, relatif aux actions de groupe, permet uniquement aux victimes de se faire représenter au travers d’un « filtre » de type organisation ou association à but non lucratif.
La « majorité numérique » maintenue à 15 ans, avec quelques ajustements
Si le RGPD fixe à 16 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données, par exemple lors de son inscription à Facebook, chaque État membre peut abaisser ce seuil jusqu’à 13 ans. En commission, les députés ont ainsi choisi de fixer cette « majorité numérique » à 15 ans.
Différentes positions se sont affrontées hier, entre les tenants d’un abaissement à 13 ans et ceux qui, au contraire, plaidaient pour son relèvement à 16 ans.
« À partir du moment où les enfants sont en possession de leur téléphone mobile, il est très difficile, voire quasiment impossible, de contrôler les réseaux sur lesquels ils s’inscrivent » a ainsi fait valoir Christine Hennion, qui plaidait pour un seuil de 13 ans. L’élue LREM a expliqué qu’il serait surtout « impossible de vérifier l’âge effectif des personnes inscrites sur ces réseaux [sociaux], sauf à mettre en œuvre des mesures de profilage ou à procéder à des vérifications d’identité qui seraient tout à fait contraires au règlement ».
« S’il est vrai que bon nombre de jeunes s’inscrivent aujourd’hui sur les réseaux sociaux sans en demander la permission ou sans en avertir leurs parents, il est important de rappeler un vieux proverbe latin auquel cette assemblée devrait se référer plus souvent : le fait ne constitue pas de lui-même un droit » a de son côté soutenu Emmanuelle Ménard, qui militait pour un retour à 16 ans. « Un certain nombre d’adolescents de quinze ans ou plus sont peut-être conscients des risques, mais à mon avis, la majorité d’entre eux ne le sont pas », s’est-elle justifiée.
Les députés de La France Insoumise souhaitaient quant à eux fixer cette « majorité numérique » à 13 ans, pour mieux coller à la « réalité » des pratiques des jeunes, mais demandaient à ce qu’une information claire et adaptée soit fournie aux mineurs – sous peine de sanctions.
Paula Forteza a toutefois obtenu un maintien du « consensus » trouvé en commission. La rapporteure y avait alors fait valoir que l’âge de 15 ans correspondait à « un moment où le mineur rentre au lycée. C'est un moment où il y a une maturité suffisante pour maîtriser les usages sur Internet, et c'est un seuil que nous retrouvons aussi dans différents domaines (par exemple le seuil de consentement en matière de sexualité, en matière de données de santé). »
Néanmoins, les mineurs de moins de 15 ans pourront toujours s’inscrire sur des réseaux sociaux. Ces derniers seront seulement tenus de recueillir le consentement du jeune ET de ses parents. Dans un tel cas de figure, la plateforme en question devra transmettre à l’utilisateur les informations relatives au traitement (identité du responsable, finalité, durée de conservation des données...) « dans un langage clair et facilement accessible » – suite à l’adoption d’un amendement du député Philippe Gosselin (LR).
Vers une meilleure sensibilisation des élèves aux questions de données personnelles
Alors que tous les élèves disposent en principe, au cours de leur cursus obligatoire, d’une sensibilisation aux droits et devoirs « liés à l'usage de l'internet et des réseaux, dont la protection de la vie privée et le respect de la propriété intellectuelle » (dans le cadre leur « formation à l'utilisation des outils et des ressources numériques »), les députés ont souhaité hier que ces cours soient élargis aux « règles applicables aux traitements des données à caractère personnel ».
En revanche, l’Assemblée n’a adopté aucun des amendements qui visaient à instaurer un régime juridique spécial pour les données relevant du domaine scolaire (lequel aurait été contraint notamment par des référentiels et règlements types établis par la CNIL).
La rapporteure a déclaré que des travaux étaient en cours avec l’exécutif sur ce dossier, une mission ayant notamment été confiée le 13 novembre dernier à l’Inspection générale de l’administration de l’Éducation nationale. Paula Forteza espère en ce sens arriver « d'ici la seconde lecture » à un dispositif « co-construit » avec le gouvernement « pour aboutir à la transparence des traitements de données personnelles effectués dans le cadre scolaire ».
Retrait de l’amendement « anti-Google »
Éric Bothorel, qui souhaitait interdire l’installation « par défaut » de Google sur les smartphones et navigateurs web, a finalement retiré son amendement. L’élu LREM voulait plus exactement que les fabricants et distributeurs de terminaux, fixes comme mobiles, proposent « explicitement » « le choix d’un service qui ne collecte et ne conserve pas de données personnelles associées aux recherches effectuées ».
La ministre de la Justice s’est dit « sensible » à l’objectif de cet amendement (qui visait tant à protéger les utilisateurs qu’à favoriser la concurrence), mais a estimé que l’étude de ses implications économiques, industrielles et juridiques méritait d’être approfondie. Nicole Belloubet a surtout longuement expliqué que le RGPD satisfaisait « une partie » des objectifs visés par le parlementaire :
« L'article 25 du règlement et son considérant 78 imposent déjà au responsable du traitement de proposer des biens ou services qui offrent par défaut ou dès leur conception le plus haut niveau de protection des données personnelles (...). Cela signifie que l'utilisateur d'un smartphone ne pourra donc pas se voir imposer l'utilisation par défaut d'un navigateur donné. Il pourra demander au fabricant du téléphone de lui permettre d'installer un autre navigateur, plus respectueux d'une collecte de données, en faisant valoir qu'il n'a pas donné librement son consentement au traitement de ses données par le navigateur qui aurait été pré-installé. »
Éric Bothorel a déclaré qu’il se mettait « immédiatement au travail » pour faire « progresser » son amendement « et le faire aboutir dans des délais respectables » – vraisemblablement au travers d’un autre véhicule législatif.
Détricotage de la loi Numérique
Alors que la « loi Lemaire » de 2016 anticipait la mise en œuvre du règlement européen en prévoyant l’instauration, à partir du 25 mai 2018, d’un droit de récupération de ses données associées aux comptes de plateformes de type Facebook ou Deezer, l’Assemblée a choisi de faire disparaître ce dispositif qui faisait figure de doublon.
« L’articulation entre cette disposition et le droit à la portabilité des données prévu par l’article 20 du RGPD soulève des difficultés puisque les données qui doivent être transmises au consommateur recoupent celles qui doivent être communiquées à la personne concernée au titre du droit à la portabilité des données personnelles prévu par le RGPD », a ainsi soutenu Éric Bothorel, en défense de cet amendement déposé par l’ensemble du groupe majoritaire.
Nombreux amendements rejetés
Le groupe communiste, qui s’appuyait sur des positions de La Quadrature du Net et de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour réclamer des responsables de traitements un chiffrement des données qui leur sont confiées de bout en bout « chaque fois que cela est possible », n’a pas réussi à convaincre. « Le chiffrement est une mesure de sécurité parmi d’autres, qu’il n’y a pas lieu d’imposer de manière systématique au responsable de traitement, a rétorqué la Garde des Sceaux. Il appartient à ce dernier, conformément au principe de responsabilisation, d’apprécier ce qui est nécessaire. »
La rapporteure a également émis un avis défavorable, insistant par ailleurs sur le fait qu’un « travail de fond » était en cours sur ce dossier à la CNIL, conformément à ce qu’avait souhaité le législateur au travers de la loi Numérique.
Quant à l’amendement FN visant à imposer le stockage des données des citoyens français sur le territoire national, dans une optique notamment de développement économique, il a sans surprise été lui aussi rejeté. « Ce qui est important, ce n’est pas le lieu de stockage des données, mais le respect des droits des citoyens français, quel que soit le lieu où est installée l’entreprise » a objecté la rapporteure. Paula Forteza s’est justifiée en expliquant que le RGPD prévoyait « une extraterritorialité du droit européen », en vertu de laquelle « le droit qui a cours n’est pas celui du lieu où est situé le siège de l’entreprise, mais celui qui s’applique aux personnes dont les données sont traitées ».
« Les GAFA, par exemple, devront se conformer au droit européen s’ils traitent des données de citoyens européens » a-t-elle fait valoir. Même son de cloche du côté de la ministre de la Justice, cette dernière ayant ajouté que cette proposition « serait difficilement applicable » et très probablement contraire au principe de libre circulation des services (cher au droit européen).
Autres amendements rejetés : ceux du groupe GDR sur l’IP Tracking. L’idée ? Assimiler expressément le fait de géolocaliser un internaute afin de lui proposer une publicité ciblée comme une pratique commerciale trompeuse. La ministre de la Justice a déclaré qu’il s’agissait de cavaliers législatifs, dès lors susceptibles d’une censure du Conseil constitutionnel.
L'amendement du groupe socialiste visant à ce que les administrations explicitent « systématiquement » (et non plus sur demande) le fonctionnement des algorithmes servant à prendre des décisions individuelles a lui aussi connu le même sort. Nous y reviendrons ultérieurement.
L'amendement des députés LFI, qui souhaitaient avancer sur la définition de neutralité du Net, est également à ranger du côté de ceux qui resteront dans les cartons. « Ce principe devrait plutôt être inscrit dans la Constitution » a néanmoins affirmé Paula Forteza, qui a porté il y a peu cette proposition dans le cadre des groupes de travail sur la future réforme constitutionnelle (voir notre article).
Pas de patrimonialisation des données personnelles
Dans la lignée des positions du think tank Génération libre sur l’instauration d’un « droit de propriété » sur les données personnelles, le député Bruno Bonnell voulait que le Code de la propriété intellectuelle reconnaisse que chaque citoyen « jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise ».
« Chacun aura ainsi le loisir de léguer [ses données personnelles] à ses héritiers, de les mettre à la disposition librement de la communauté. Mais surtout, il détiendra une autorité sur son intégrité numérique » a soutenu l’élu LREM dans l’hémicycle. « Nombre d’objets et d’images de civilisations disparues désormais protégés au nom de la préservation du patrimoine et exposés dans les vitrines des musées n’ont jamais été pensés ou réalisés par autre chose que les nécessités et les routines du quotidien. Nous devons considérer que nos données numériques sont du même ordre. »
« Instituer un droit de propriété sur les données personnelles serait un peu dangereux et irait à l’encontre de la circulation et de la réutilisation des données, qui sont, de nos jours, source d’innovation », a cependant rétorqué Paula Forteza, avant d’émettre un avis défavorable. Nicole Belloubet, sur le banc du gouvernement, s’est également opposée à cette initiative.
Aucune « présomption de conformité » ne sera accordée
Alors que le RGDP est applicable à compter du 25 mai 2018, différents élus LR demandaient enfin à ce que les traitements autorisés avant cette date bénéficient d’une « présomption de conformité » au texte européen. L’idée : instaurer un régime de transition « de nature à apporter de la sérénité aux entreprises » et de « leur éviter de subir de nouvelles contraintes, le cas échéant financières », a soutenu Philippe Gosselin.
Mais pour la majorité, pas question d’instaurer un tel dispositif, le RGPD prévoyant que les traitements en cours à la date d’application du règlement doivent être mis en conformité avec celui-ci sous deux ans à compter de son entrée en vigueur. « La Commission européenne sera très vigilante sur ce point et pourrait sanctionner toute disposition allant dans le sens d’une présomption de conformité », a prévenu la Garde des Sceaux. Paula Forteza a d’autre part souligné que « la CNIL adoptera, de manière informelle, une approche non pas de sanction mais plutôt d’accompagnement des acteurs pour les aider à se mettre en conformité ».
Un dernier vote solennel, sur l’ensemble du texte, est prévu mardi 13 février. Le texte sera ensuite transmis au Sénat. Ce projet de loi ayant été engagé sous procédure accélérée, une commission mixte paritaire devrait ensuite se réunir, afin de chercher un compromis entre députés et sénateurs.
Commentaires (14)
#1
Merci pour ce résumé.
" />
#2
Il manque dans l’adaptation française la procédure de désignation du DPO pour les établissements publics. Et qui doit être le responsable du traitement ?
#3
#4
Si on l’article 38 du RGPD, le DPO il peut faire ce qu’il veut :
Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
#5
#6
« extraterritorialité du droit européen » : voilà une notion INtéressante qui permet de conférer des droits/obligations aux Citoyens et non aux résidents (ça change du droit fiscal). Je me demande tout de même comment on fera respecter cette extraterritorialité du droit européen.
#7
Mais pour la majorité, pas question d’instaurer un tel dispositif, le RGPD prévoyant que les traitements en cours à la date d’application du règlement doivent être mis en conformité avec celui-ci sous deux ans à compter de son entrée en vigueur.
Deux ans à partir de son entrée en vigueur, qui était…. il y a deux ans.
#8
«Linky : Vous ne le savez pas… mais vous avez consenti !
Avec Loïc Prud’homme.»
François Ruffin (député LFI) - vidéo Facebook - 09/02/2018
#9
c’est très exagéré. Les compétences du DPO et ses missions dépendent du cas d’espèce. Certes, le passage à un principe d’“accountability” nécessite un changement de mentalité, mais c’est totalement faux de dire qu’on ne sait rien et qu’on ne peut rien faire.
Il faut aussi se rappeler que la GDPR est un règlement et plus une directive. Je ne pense pas que ça soit le moment de tout refaire sous prétexte qu’on doit rédiger une loi d’introduction du règlement.
Ce qui manque vraiment au règlement c’est de la jurisprudence, et il n’est pas irrationnel de devoir lire de la doctrine rédigée en anglais (ou en allemand ils sont passablement prolifiques sur la question) afin de chercher les pistes d’interprétation d’un règlement Européen. d’ailleurs, les avis, opinions et recommandations du groupe de l’article 29 ne sont pas des nouveautés, et les cours se sont souvent appuyées sur ces documents.
Idem pour les codes de conduite, les certifications, etc. Les choses se mettent en place du côté des responsables et des autorités en même temps comme pour presque tous les chantiers de cette envergure.
Tout n’est pas parfait, loin de là, mais je pense que c’est un peu exagéré de crier au loup de cette manière.
#10
Au sujet de l’inscription des moins de 15 ans sur les réseaux sociaux : “Ces derniers seront seulement tenus de recueillir le consentement du jeune ET de ses parents.”
Comment on fait ça en pratique ?
C’est un peu comme la case à cocher “J’ai plus de 18 ans”, non ?
#11
#12
J’ajoute que je doute fortement de la pertinence du renvoi à la doctrine anglaise ou allemande (et en anglais ou en allemand) s’agissant d’apprécier de critères permettant de sanctionner ou non.
Faute de respecter le principe de légalité, ça ne tiendra pas devant le Conseil d’Etat (et c’est heureux, on ne peut pas d’un coté vouloir la simplification du droit et dans le même temps dire que les notions clefs d’un texte et les sanctions en cas de non conformité sont suffisamment accessibles en anglais ou allemand…).
#13
Je ne dis pas que tout est clair et si limpide qu’aucune question ne se pose.
je pense simplement que tu exagères lorsque tu dépeins le règlement comme un fouillis incompréhensible. De la place est laissée au contrôleur pour examiner sa propre situation et prendre des mesures.
Je ne sais pas ce que traite NXI, mais il est bien évident qu’ils doivent évaluer le traitement qu’il font des données personnelles et prendre les mesures nécessaires afin de respecter le règlement. La vraie question n’est pas tant de savoir si on a besoin d’un DPO, ou qui peut s’en charger, et sous quelle procédure, mais d’être capable d’avoir une idée claire de ce qui se passe niveau données, et de documenter les mesures qu’on prend afin de limiter les risques. les tout gros savent qu’ils auront besoin d’une batterie de DPO surqualifiés alors que les plus petits pourront se contenter d’avoir une personne de contact formée sur le tas (en fonction du cas d’espèce).
Il y a plein de questions ouvertes, et là dessus je te rejoins: Quid de l’effacement? Quid de l’anonymisation? quid du régime de sanctions? Pire quid de la notion de consentement? Mais c’est bien trop souvent une excuse qu’on brandit parce qu’on ne veut pas remettre en question nos activités.
Concernant les sources, le règlement unifie la pratique à l’échelle européenne. Sa mise en oeuvre sera largement harmonisée au niveau européen. Probablement que la CJUE s’inspirera à la fois de la doctrine française mais aussi des doctrines étrangères lorsqu’il s’agira de préciser le contenu de la GDPR.
#14