RGPD : en commission, élargissement de l’action de groupe et consentement abaissé à 15 ans

La commission des lois de l’Assemblée nationale a achevé hier soir l’examen du projet de loi adaptant le droit français au règlement européen sur la protection des données personnelles (RGPD). Les députés ont notamment élargi l’action de groupe activable en cas d’atteinte à la loi CNIL et abaissé l’âge légal du consentement des mineurs à 15 ans.

Après avoir introduit mardi différentes réformes relatives à la Commission nationale de l’informatique et des libertés (voir notre compte rendu), les élus du Palais Bourbon ont poursuivi leurs travaux jusqu’à 22 heures, mercredi 24 janvier.

Ils ont notamment approuvé un « amendement clé » – dixit la rapporteure Paula Forteza – qui devrait permettre à l’avenir aux victimes d’une même fuite de données, par exemple, d’obtenir une réparation de leur préjudice au travers d’une action de groupe.

Élargissement de l’action de groupe en matière de données personnelles

Actuellement, cette procédure permet uniquement d’obtenir la « cessation » d’un manquement à la loi Informatique et Libertés (le colmatage de la fuite, pour reprendre l’exemple cité précédemment). Cela explique d’ailleurs peut-être pourquoi aucune action de groupe de ce type n’a pour l’instant été lancée – alors qu’elles sont possibles depuis fin 2016...

« Il est très compliqué pour les individus isolés de faire des plaintes, parce que c'est un domaine très technique, les démarches sont compliquées... Et il est très utile que des associations puissent venir en soutien pour défendre leurs intérêts » a fait valoir hier Paula Forteza, afin de justifier son amendement proposant que cette initiative permette dorénavant d’engager « la responsabilité de la personne ayant causé le dommage », en vue « d’obtenir la réparation des préjudices matériels et moraux subis ».

Par contre, rien ne changera quant aux modalités d’exercice de cette procédure. Celle-ci ne peut en effet être initiée que par des personnes physiques, représentées par le biais d’une des organisations suivantes :

• Une association « ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel », et régulièrement déclarée depuis au moins cinq ans
• Une association de défense des consommateurs représentative agréée au niveau national
• Un syndicat représentatif de salariés ou de fonctionnaires

Cette réforme a été approuvée avec un large soutien des – rares – députés en présence. Éric Bothorel a notamment rappelé que la CNIL préconisait de longue date d’instaurer un tel dispositif (que les États membres sont libres d’introduire, ou non, en application de l’article 80 du RGPD). La gardienne des données personnelles nous avait d’ailleurs fait part de sa « déception » après que cette mesure a été écartée en 2016, suite aux débats sur la loi Numérique.

« Cela me semble d'autant plus nécessaire que ce droit existe déjà dans d'autres pays européens et qu'il serait possible, en passant par ces pays, que les Français puissent aussi bénéficier de cette réparation » a ajouté Christine Hennion (LREM). À ses yeux, il aurait été « un peu illogique de ne pas avoir ce droit en France ».

En dessous de 15 ans, le consentement des parents sera obligatoire

« Le règlement européen sur la protection des données fixe à 16 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données [par exemple lors de son inscription sur Facebook, ndlr]. En dessous de cet âge, le consentement de ses parents sera nécessaire » a rappelé Paula Forteza. Alors que le RGPD laisse la possibilité aux États membres d’abaisser ce seuil jusqu’à 13 ans, le gouvernement avait fait le choix de maintenir celui de 16 ans.

La rapporteure a toutefois obtenu que l'on opte pour un seuil de 15 ans. « C'est un moment où le mineur rentre au lycée. C'est un moment où il y a une maturité suffisante pour maîtriser les usages sur Internet, et c'est un seuil que nous retrouvons aussi dans différents domaines (par exemple le seuil de consentement en matière de sexualité, en matière de données de santé) » a soutenu l’élue LREM.

La mesure, bien qu’assortie d’une obligation pour les responsables de traitement de s’adresser aux jeunes « en des termes clairs et simples, aisément compréhensibles par le mineur », n’a cependant pas suscité l’unanimité.

« Les enfants accèdent aujourd'hui aux réseaux sociaux à un âge beaucoup plus jeune que 15 ans. D'autre part, les plateformes et les entreprises ne seront pas du tout capables de vérifier l'âge effectif des personnes qui s'inscrivent à leurs services » a ainsi souligné Christine Hennion. L’élue a d’ailleurs annoncé qu’elle déposerait, en vue des débats dans l’hémicycle, un amendement abaissant ce seuil à 13 ans.

De nombreux renvois à la séance publique

Quant à l’amendement qui interdisait aux concepteurs de terminaux (fixes comme mobiles) de placer « par défaut » un moteur de recherche « qui collecte et conserve tout ou partie des requêtes associées à des données personnelles de l’utilisateur », il a été retiré sur demande de la rapporteure et de la ministre de la Justice.

Paula Forteza a déclaré qu’elle adhérait à « la logique et au principe » de la proposition de son collègue Éric Bothorel, qui venait lui-même d’insister sur le fait qu’il s’agirait de permettre à chaque utilisateur de smartphone, tablette ou PC « d'avoir le choix enfin de son moteur de recherche ». « Ainsi rédigé, [cet amendement] n'a peut-être pas sa place dans ce texte de loi » a argumenté la rapporteure, renvoyant son auteur aux discussions qui suivront l’adoption du règlement ePrivacy par l’Union européenne.

Paula Forteza a malgré tout invité Éric Bothorel à retravailler son texte en vue des débats dans l'hémicycle : « Je crois que nous pourrons rattacher cette notion à l'idée du consentement libre – puisque pour avoir un consentement libre, il faut bien avoir des alternatives ». Le député a ainsi promis qu’il préparerait une « version 2.0 » de son amendement.

De nombreux amendements n’ayant pas été soutenus (du fait de l’absence de leurs signataires), beaucoup d’autres débats devraient intervenir lors des discussions en séance publique, qui débuteront le 6 février.

Les députés de La France Insoumise proposaient par exemple d’instaurer « un système de contrôle social et citoyen de l'effectivité des missions d’inspection et de contrôle » de la CNIL, à titre expérimental. Plusieurs amendements avaient d'autre part été déposés au sujet des données des élèves. L’un d’entre eux visait à interdire « de traiter des données à caractère personnel collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale ».