Projet de loi RGPD : le texte des députés largement rétabli en commission

La commission des lois de l’Assemblée nationale a largement détricoté le projet de loi RGPD, tel que voté fin mars par le Sénat. Quelques modifications ont toutefois été maintenues, au sujet notamment de la transparence des algorithmes publics (et plus particulièrement de Parcoursup).

Sans grande surprise, les députés ont rétabli leur copie sur la plupart des dossiers qui ont conduit à l’échec, vendredi 6 avril, des négociations avec la Haute assemblée : extension de l’action de groupe en matière de données personnelles, âge de la « majorité numérique », dérogations au profit des collectivités territoriales, droit à la portabilité des données, etc.

En moins d’une heure, la commission des lois a examiné hier, en nouvelle lecture, près de quatre-vingt-dix amendements – pour ne finalement adopter que des modifications portées par la rapporteure, Paula Forteza (LREM), et le gouvernement.

Levée des restrictions sur la saisine parlementaire de la CNIL

Les élus du Palais Bourbon ont commencé par revenir sur la saisine parlementaire de la CNIL. Au nom d’une potentielle surcharge de l’institution et de la préexistence de dispositifs de type auditions devant le Parlement, le Sénat souhaitait réserver aux seuls présidents des assemblées la possibilité de demander l’avis de la Commission sur toute disposition « relative à la protection des données à caractère personnel ou au traitement de telles données ».

Afin d’ouvrir ce nouvel outil aux élus de l’opposition, la commission des lois est revenue à sa position initiale – à savoir un élargissement :

• Aux présidents des commissions compétentes de l’Assemblée et du Sénat
• Aux présidents des groupes parlementaires

Les parlementaires n’ont toutefois pas jugé bon de retenir une nuance supplémentaire apportée par le Sénat : que cette saisine porte sur « toute disposition » d'une proposition de loi, et non pas uniquement sur un texte globalement consacré aux données personnelles. Cela aurait pourtant permis de solliciter l’autorité administrative sur des projets ne contenant qu’une seule mesure en lien avec les données personnelles.

Les députés ont en revanche revu leur copie s’agissant des personnalités qualifiées siégeant à la CNIL. Parmi les dix-huit membres de la Commission, cinq sont aujourd'hui désignés par le gouvernement et les présidents des assemblées en raison de « leur connaissance du numérique » ou, pour trois d’entre eux, « des questions touchant aux libertés individuelles ».

Le débat portait sur le fait de savoir si ces individus devaient dorénavant être nommés au regard de l’une de ces compétences, ou des deux. Après avoir opté pour un cumul, en commission des lois, les députés avaient fait machine-arrière en séance publique (avant d’être suivis par les sénateurs). Philippe Gosselin (LR) jugeait qu’un cadre trop restrictif empêche la désignation de philosophes ou d’historiens par exemple.

Mais hier, nouveau rebondissement : la rapporteure a fait adopter un amendement prévoyant un retour au cumul des deux. Sauf modification en séance publique, ces cinq personnalités qualifiées de la CNIL devront à l’avenir être choisies pour leurs compétences en matière de numérique ET de libertés individuelles.

Toujours au sujet de la CNIL, la commission des lois a par ailleurs rétabli les dispositions prévoyant que l’ordre du jour de l’autorité administrative soit « rendu public » (uniquement en ce qui concerne ses réunions en commission plénière).

Extension des actions de groupe dès cette année

Tout comme les députés, les sénateurs souhaitaient élargir l’action de groupe en matière de données personnelles, afin de permettre à plusieurs victimes d’obtenir la réparation de leur préjudice, matériel comme moral. Actuellement, cette procédure est uniquement destinée à la cessation d’un manquement à la loi Informatique et Libertés (tel que le colmatage d’une faille de sécurité par exemple).

La Haute assemblée a toutefois durci les conditions de mise en œuvre de cette extension, par crainte d’une explosion de ces actions de groupe (alors qu’aucune n’a été engagée à ce jour). Ont ainsi été introduit :

• Un report dans le temps de cette réforme, afin qu’elle aboutisse à la réparation des seuls dommages dont le « fait générateur » aurait été postérieur au 25 mai 2020.
• Une obligation d’agrémentation pour les associations de protection de la vie privée habilitées à représenter les victimes devant les tribunaux (et qui sont d’ores et déjà soumises à une condition d’existence de cinq ans minimum).
• Une obligation pour le demandeur d’informer la CNIL lors de l’introduction de son recours, afin que l’institution puisse présenter ses observations devant la juridiction saisie.

Comme le laissaient présager les débats en commission mixte paritaire, les députés ont supprimé hier les deux premières restrictions évoquées ci-dessus. La troisième a en revanche été maintenue.

Retour à 15 ans pour la « majorité numérique »

Sans surprise là non plus, la commission des lois a fixé à 15 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données, par exemple lors de son inscription à Facebook. Le Sénat s’était de son côté prononcé pour un seuil de 16 ans.

« L’âge de 15 ans correspond souvent à l’entrée au lycée, qui constitue une étape importante dans l’acquisition d’une maturité suffisante », faisait valoir Paula Forteza à l’appui de son amendement de rétablissement des dispositions votées en première lecture. « Par ailleurs, il serait pour le moins paradoxal d’exiger qu’un mineur ait 16 ans pour s’inscrire sur un réseau social alors qu’il est réputé pouvoir librement disposer de son corps et de sa sexualité à l’égard d’un majeur à compter de l’âge de 15 ans, seuil retenu par le code pénal pour établir la majorité sexuelle. Enfin, l’âge de 16 ans est généralement retenu par notre droit pour autoriser le mineur à accomplir seul des actes qui engagent bien davantage qu’une inscription sur un réseau social. »

Comme le prévoyait la copie initiale des députés, les responsables de traitement devront rédiger « en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne ».

En matière de données relatives aux élèves, les députés ont réécrit les dispositions introduites par les sénateurs. Pour mémoire, la Haute assemblée voulait que les établissements d’enseignement scolaire mettent à la disposition du public une « liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité ».

Sous couvert de clarification de ces dispositions, Paula Forteza a fait adopter un amendement imposant la publication du « registre » recensant ces traitements (tel que prévu par le RGPD). Sur demande du gouvernement, ce dispositif n’entrera en vigueur qu’à compter de la rentrée prochaine.

La commission suit le Sénat sur la transparence des algorithmes publics

De manière plus surprenante, la commission des lois a retenu deux modifications apportées par le Sénat en matière d’algorithmes publics :

1. La nullité automatique des décisions individuelles ne comportant pas de « mention explicite » relative à la transparence des algorithmes publics
2. La suppression de la « dérogation » voulue par le gouvernement au sujet de l’explicitation des algorithmes utilisés dans le cadre de Parcoursup

« Dans le principe, j'y adhère », nous avait confié Paula Forteza (voir notre article). La rapporteure a toutefois reporté l’entrée en vigueur de la première de ces deux réformes au 1er janvier 2019, afin de « laisser à l'administration le temps nécessaire pour adapter en conséquence l'information délivrée aux citoyens ».

Adoptées sans débat particulier, ces mesures pourraient faire l’objet de discussions plus tendues en séance publique, le gouvernement y étant notamment opposé.

Toujours sur ce dossier, la commission des lois est revenue sur l’obligation de publication (et non plus de communication individuelle sur demande, comme c’est censé être le cas aujourd’hui) des « règles » et « principales caractéristiques » de mise en œuvre des traitements algorithmiques utilisés par les administrations. Paula Forteza a fait valoir qu’une telle modification n’était « pas adaptée » au dispositif, destiné à la fourniture d’explications individualisées, et de surcroît redondante (manifestement par rapport à certaines dispositions de la loi Numérique applicables à compter d’octobre 2018).

Détricotages en série

Les restrictions voulues par le Palais du Luxembourg au sujet de la mise en Open Data des décisions de justice n’ont quant à elles pas survécu à la nouvelle lecture. « Il apparaît en effet impossible d’imposer, comme le propose le Sénat, que la diffusion des décisions de justice prévienne tout risque de réidentification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, sauf à effacer des parties entières des décisions avant leur diffusion au public, ce qui les rendrait illisibles et inexploitables », faisait valoir la rapporteure.

Paula Forteza a également obtenu la suppression du droit à la récupération des données prévu par la loi Numérique, alors que le Sénat souhaitait son maintien (le dispositif étant applicable à compter du 25 mai prochain, comme le droit à la portabilité des données personnelles du RGPD). Aux yeux de la majorité, l’articulation entre la loi Lemaire et le RGPD « soulève des problèmes puisque les données qui doivent être transmises au consommateur recoupent celles qui doivent être communiquées à la personne concernée au titre du droit à la portabilité des données personnelles prévu par le RGPD ».

Certaines associations, à l’image de La Quadrature du Net ou de la Ligue des droits de l’Homme, ont pourtant soutenu ces derniers jours la position du Sénat – celle-ci étant jugée « plus protect[rice] des internautes » et à même d’apporter « une concurrence saine entre services en ligne ».

La commission des lois a poursuivi son travail de détricotage en faisant également sauter :

• L’obligation de chiffrement de bout en bout, « lorsque cela est possible », des données personnelles collectées par les responsables de traitement. Le gouvernement estimait cette mesure « excessive au regard du RGPD » et « non pertinente pour certains traitements ».
• Le fonds de dotation de 170 millions euros, destiné à épauler les collectivités territoriales appelées à se mettre en conformité avec le RGPD.
• L’exemption, toujours au profit des collectivités territoriales, de toute sanction de la part de la CNIL.
• Les dispositions relatives à la « charte de déontologie » que les sénateurs souhaitaient imposer aux délégués à la protection des données (ou « DPO ») des administrations publiques.
• L’interdiction des abus de position dominante en matière de « vente liée de matériels informatiques et d’applications ou services préinstallés ». L’exécutif faisait ici principalement valoir qu’il s’agissait d’un « cavalier législatif », dès lors susceptible de censure de la part du Conseil constitutionnel.
• Le « fléchage budgétaire » en vertu duquel le fruit des amendes et astreintes prononcées par la CNIL auraient servi à « financer l’assistance apportée par l’État aux responsables de traitement et à leurs sous‑traitants », afin qu’ils se conforment aux obligations du RGPD. Paula Forteza a présenté cette proposition comme « contraire à la loi organique relative aux lois de finances qui, en vertu du principe d’universalité budgétaire, n’autorise l’affectation de recettes au sein du budget général de l’État que dans le cadre de budgets annexes ou de comptes spéciaux ».
• La mission de certification des objets connectés que le Sénat voulait confier à la CNIL, qui était jugée « superfétatoire » par la rapporteure.

Pas d'ordonnance avant six mois

Le gouvernement a enfin fait adopter un amendement visant à lui laisser davantage de temps pour préparer l’ordonnance destinée à réécrire la loi Informatique et Libertés (au regard du RGPD et du projet de loi actuellement en débat au Parlement).

Initialement fixé à six mois, ce délai avait été ramené à quatre mois par le Sénat. « Le ministère nous ayant rassurés sur le fait que l'ordonnance était "presque prête", un délai plus court devrait permettre de limiter au minimum la période transitoire séparant entre l'entrée en vigueur du RGPD, le 25 mai 2018, d'une part, et l'entrée en vigueur de l'ordonnance de clarification, d'autre part », s’était alors justifiée la rapporteure de la Haute assembée, Sophie Joissains.

L’exécutif a toutefois livré une autre version devant l’Assemblée nationale, hier, pour réclamer un retour à six mois :

« Le délai de six mois est déjà un délai ambitieux et il est difficilement compressible si l’on souhaite procéder à une codification qui rende ces dispositions lisibles pour les citoyens et les responsables de traitements. » L’exécutif explique qu’il lui faudra « tirer l’ensemble des conséquences des nouveautés introduites tant par votre Assemblée que par le Sénat », avant de « préparer le projet d’ordonnance et procéder aux consultations obligatoires (collectivités territoriales) », pour le soumettre ensuite « à l’avis préalable de la CNIL avant saisine du Conseil d’État ».

Il est également à noter que les députés Éric Bothorel et Cédric Villani (LREM) ont retiré un amendement portant (à nouveau) sur la pré-installation d’applications. Les échanges avec le gouvernement continuent sur ce dossier, qui devrait être plus largement évoqué jeudi, en séance publique.

Vers une adoption définitive du projet loi à la mi-mai

Les parlementaires ont enfin évoqué la probable saisine du Conseil constitutionnel, envisagée par le Sénat suite à l'échec de la CMP de vendredi dernier. « Personne n'a à craindre des décisions du Conseil constitutionnel, bien au contraire ! Si nos textes peuvent être conformes à la Constitution, c'est bien le minimum qu'on puisse faire », a réagi la présidente de la commission des lois, Yaël Braun-Pivet (LREM).

L’élue a ajouté que le projet de loi RGPD devrait « vraisemblablement » revenir le 14 mai au Palais Bourbon, pour une lecture définitive. Or une saisine des « Sages » retarderait mécaniquement la promulgation du texte, adopté d’ici à l’entrée en application du règlement européen, le 25 mai. « Le Conseil constitutionnel sait faire vite quand il se doit », a tenté de rassurer Yaël Braun-Pivet.