L’Assemblée nationale examine à partir d'aujourd'hui le projet de loi adaptant le droit français au règlement européen sur la protection des données personnelles (RGPD). Next INpact vous propose un tour d’horizon des principaux amendements déposés par les députés.
En commission des lois, il y a deux semaines, les élus du Palais Bourbon ont procédé à de premières modifications substantielles du texte porté par Nicole Belloubet, la Garde des Sceaux. Les parlementaires ont notamment :
- Revu les missions et pouvoirs de la CNIL (voir notre compte rendu)
- Élargi l’action de groupe en matière de données personnelles et abaissé l’âge légal du consentement des mineurs à quinze ans (voir notre compte rendu)
De nombreux points ont toutefois été renvoyés aux débats en séance publique : installation du moteur de recherche de Google « par défaut », contrôle des fichiers intéressant la sûreté de l’État par la CNIL, protection des données personnelles des élèves, etc.
Les amendements qui concernent la CNIL
Possibilité pour les parlementaires et les associations de saisir la CNIL. Alors qu’il est prévu que les présidents des assemblées et les différentes commissions puissent consulter l’autorité administrative indépendante sur toute proposition de loi « relative à la protection des données à caractère personnel ou au traitement de telles données », les députés La France Insoumise (LFI) veulent offrir cette faculté à chaque parlementaire – ainsi qu’à certaines associations agréées (40). Les députés de la Gauche démocrate et républicaine (GDR) proposent de leur côté d’ouvrir cette possibilité aux présidents de groupes parlementaires (104).
Contrôle sur les fichiers du renseignement. La rapporteure Paula Forteza (LREM) souhaite que la gardienne des données personnelles puisse, en coopération avec la Commission nationale de contrôle des techniques de renseignement (CNCTR), contrôler certains traitements intéressant la sûreté de l’État : fichiers de la DGSE et de la DGSI, fichiers SIREX, BCR-DNRED, GESTEREXT, etc. (124).
Encourager les recours à la médiation. Le groupe majoritaire demande à ce que la CNIL « mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics », en vue de la bonne application du RGPD (156). La députée Christine Hennion (LREM) propose en complément que les différends entre responsables de traitement et sous-traitants puissent être soumis à de tels intermédiaires – de type Médiateur des entreprises ou Médiateur des télécoms (177).
Plus de transparence sur les décisions de la CNIL. Si les députés LFI réclament une diffusion en direct (et en replay) des délibérations de la gardienne des données personnelles (72 et 43), Paula Forteza souhaite de son côté améliorer la transparence du fonctionnement de la Commission en l’obligeant à rendre public l’ordre du jour de ses réunions plénières (123).
Échange d’informations avec le fisc. Émilie Cariou LREM voudrait « imposer à l’administration fiscale un travail commun avec la commission », dans l’optique de mieux lutter contre la fraude. L’élue LREM fait référence aux récentes déclarations du Premier ministre, et suggère que Bercy échange plus facilement ses informations et documents avec la CNIL, histoire de mieux « identifier les flux financiers relatifs aux données » (169).
Vers un « contrôle social et citoyen » de la CNIL ? Les députés LFI souhaitent qu’une commission soit chargée, à titre expérimental, « d’évaluer et de contrôler les missions d’inspection et de contrôle » effectuées par l’autorité administrative indépendante (49). Celle-ci serait composée de dix députés, dix sénateurs, dix « experts » nommés par le gouvernement, et de dix citoyens « tirés au sort sur la base du volontariat ».
Les amendements qui visent les mineurs et le monde de l’éducation
L’âge légal du consentement à 13, 15 ou 18 ans ? Alors que le gouvernement souhaitait qu’en dessous de 16 ans, l’accord des parents soit nécessaire pour qu’un mineur consente au traitement de ses données personnelles (par exemple lors de son inscription sur Facebook), la commission des lois a suivi la rapporteure en abaissant ce seuil à 15 ans. Christine Hennion propose toutefois de l’abaisser à 13 ans, afin de prendre en compte « la réalité de l’accès au numérique des enfants » (21). Les députés LFI la rejoignent, tout en demandant à ce que les sites fournissent une information claire et adaptée aux mineurs – sous peine de sanctions (69). Pierre Vatin et quelques autres élus Les Républicains vont quant à eux dans le sens inverse, réclamant un seuil de 18 ans afin notamment de « protéger les mineurs les plus vulnérables » (10).
Sensibilisation obligatoire à la protection des données personnelles. Les députés de la majorité demandent à ce que les élèves bénéficient, dans le cadre de leur « formation à l'utilisation des outils et des ressources numériques », d’une sensibilisation aux « règles applicables aux traitements des données à caractère personnel » (167). Actuellement, cette sensibilisation porte sur les droits et devoirs « liés à l'usage de l'internet et des réseaux, dont la protection de la vie privée et le respect de la propriété intellectuelle ».
Renforcer le rôle de la CNIL en matière d’éducation numérique. La France Insoumise souhaite que l’institution informe le public – et plus particulièrement les élèves – « quant aux enjeux du numérique sur leurs droits et libertés fondamentales et les moyens de faire pleinement valoir ceux-ci » (41). L’idée serait de procéder à une expérimentation qui conduirait l’autorité à intervenir dans des établissements volontaires.
Un régime spécial pour les données des élèves. Le groupe GDR voudrait « créer une nouvelle catégorie spécifique pour les traitements de données à caractère personnel dans le domaine scolaire » (118). Objectif : assurer à ces dernières « un régime juridique plus protecteur », puisque contraint notamment par des référentiels et règlements types établis par la CNIL. Certains députés proposent de leur côté d’interdire purement et simplement le traitement de « données à caractère personnel qui relèvent de l’utilisation des systèmes d’information de l’éducation nationale » (139).
Les amendements sur l’action de groupe
Retour à la simple possibilité d’obtenir la cessation du manquement. Alors qu’il est prévu que les internautes puissent dorénavant réclamer des indemnités en cas de violation à la loi Informatique et Libertés, une dizaine d’élus LR préconise un maintien du dispositif actuel (82). « À l’heure où la France cherche à attirer de nombreuses entreprises et investisseurs étrangers, l’extension prématurée d’un tel dispositif pourrait venir en limiter l’attractivité » soulèvent notamment ces députés.
Faciliter l’exercice des actions de groupe. La liste des organisations pouvant lancer une action de groupe (au nom de victimes d’un même manquement) étant plutôt restreinte, différents élus proposent qu’au moins deux personnes puissent agir directement en justice – dans certaines situations particulières (70, 109, 150 et 73). Ce serait notamment le cas s’il « n’existe pas d’association compétente ou ayant un intérêt à agir », ou si l’organisation sollicitée « reste inactive et n’agit pas en justice même quinze jours après mise en demeure par les usagers susvisés ».
Protection des données personnelles
Définition du consentement. Plusieurs amendements ont été déposés afin de préciser quelles sont les conditions pour que le consentement de l’utilisateur soit valable. Une trentaine de députés de la majorité souhaite ainsi que celui-ci soit « obtenu de manière loyale » et qu’il résulte « d’une action volontaire, explicite, libre, spécifique et informée » de l’internaute (92). Ces élus plaident au passage pour une interdiction formelle des cases d’acceptation pré-cochées (91). Les communistes rejoignent ces positions (108).
Obligation de stocker les données en France. Six députés Front national, menés par Marine Le Pen, veulent que les données à caractère personnel « concernant les citoyens français » soient « exclusivement » hébergées « sur le territoire national » (135).
Suppression de l’article de la loi Numérique sur la portabilité des données. Le groupe majoritaire souhaite faire disparaître un article de la « loi Lemaire » qui devait conduire à la mise en œuvre, à partir du 25 mai 2018, d’un droit à la portabilité des données associées aux comptes des utilisateurs de plateformes de type Facebook ou Deezer (155). Les députés LREM font valoir que l’articulation entre ses dispositions et le droit à la portabilité des données prévu par l’article 20 du RGPD soulève notamment des problèmes juridiques.
Interdire l’installation de Google « par défaut ». Comme prévu, Éric Bothorel a déposé une nouvelle version de son amendement visant à ce que les smartphones et navigateurs web ne soient plus fournis avec un moteur de recherche intrusif pré-installé (173). Les fabricants ou distributeurs de terminaux, fixes comme mobiles, devraient ainsi « s’assurer du caractère libre du consentement et notamment que, par défaut, le choix d’un service qui ne collecte et ne conserve pas de données personnelles associées aux recherches effectuées » soit « proposé explicitement ».
Encouragement au chiffrement. Les députés GDR ont déposé un amendement (soufflé par La Quadature du Net) visant à ce que les responsables de traitements chiffrent les données qui leur sont confiées de bout en bout « chaque fois que cela est possible » (107).
Reconnaissance d’un « droit moral » sur les données personnelles. Le député Bruno Bonnell, suivi par une poignée d’élus LREM, plaide pour que le Code de la propriété intellectuelle reconnaisse que « le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise » (20).
Quelques amendements plus cavaliers
Explicitation systématique du fonctionnement des algorithmes publics. Alors que la loi Numérique prévoit que les administrations détaillent, sur demande des administrés, comment fonctionnent leurs programmes utilisés pour prendre des décisions individuelles, les députés socialistes demandent à ce que ces explications soient « systématiquement » fournis aux intéressés, sans qu’ils n’aient à se rapprocher du service en question – les impôts, la caisse d’allocations familiales, etc. (19)
Lutte contre l’IP Tracking. Le groupe GDR souhaite que le fait de géolocaliser l’internaute afin de lui proposer une publicité ciblée soit expressément considéré comme une pratique commerciale trompeuse (114). Il en irait de même pour les sites qui modifient leurs tarifs « selon l’heure à laquelle un internaute effectue son achat » (116).
Nouvelles précisions sur la définition de neutralité du Net. Le groupe LFI propose que les opérateurs assurent expressément un « traitement égal et non discriminatoire du trafic », « sans limitation ni interférence, indépendamment de l’expéditeur, du destinataire, du type du contenu, de l’appareil, du service ou de l’application » (60).
Les débats doivent débuter en fin d’après-midi et se poursuivre au moins jusqu’à demain soir. Comme d’habitude, il est possible de les suivre en direct depuis le portail vidéo de l’Assemblée nationale.
Commentaires (8)
#1
Y a à boire et à manger, mais certains sont intéressants comme :
#2
Merci beaucoup NXI pour ce genre d’articles de haute voltige ! La présentation est impeccable, c’est clair et bien expliqué, il y a pléthore de liens référencés pour aller lire les sources. Franchement, bravo !
#3
A votre service
" />
#4
Obligation de stocker les données en France. Six députés Front national, menés par Marine Le Pen, veulent que les données à caractère personnel « concernant les citoyens français » soient « exclusivement » hébergées « sur le territoire national » (135).
Ben y a du boulot…
#5
La saisie de la CNIL par des parlementaires ou associations me semble intéressante, mais il ne faudrait pas avoir une inflation judiciaire non plus.
" />
La commission pour contrôler la commission NIL, j’ai du mal à comprendre. Peut-être créer une commission pour en discuter
La transparence de la CNIL est toujours une bonne chose, je ne vois pas trop l’intérêt du direct, mais bon…
La formation/sensibilisation aux données et à la vie privée est primordiale, ce serait en tout cas plus utile que les cours de philosophie. Par contre je ne pense pas que ce soit en tant que tel le rôle de la CNIL, plus des enseignants volontaires et « au courant »
Les actions de groupe, oui, notamment poussées par les associations de consommateurs (UFC, 60M…)
la défintion du consentement est déjà précisée dans le RGPD
le stockage des données en Europe, idem, avec dérogations pour les états s’ils offrent des garanties similaires (mon démagomètre s’affole à la mention « stocké en France »)
la portabilité des données idem, c’est dans le RGPD (vous ne l’avez pas lu ou vous ne connaissez pas le concept de primauté du droit ?).
L’amendement Google par défaut, à voir si on ne ferait pas un « splash screen » comme pour les navigateurs web à une certaine époque.
Le chiffrement des données, owi
Le droit moral sur les données, je n’ai pas compris, je crois. Si c’est cessible à des tiers comme précisé dans l’amendement, c’est un droit patrimonial (le droit moral est incessible et inaliénable), ça m’a l’air à côté de la plaque
le fonctionnement des algorithmes publics serait bien (les appliquer correctement serait mieux, mais on est en France, on a pas tout non plus)
oui à la lutte contre l’IP tracking.
La neutralité du net existe déjà, je ne vois pas ce que ça apporte (surréaction à Trump, si j’en crois le texte de l’amendement)
#6
#7
La loi république numérique, dans l’extrait citéhttps://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=40B3DD46CC5543C6…
cite « conformément aux conditions prévues à l’article 20 du règlement (UE) n° 2016⁄679 du Parlement européen », soit le nom de code du RGPD. Ou alors ça n’a pas été bien fait la première fois. Ou alors j’ai raté quelque chose. C’est possible également.
#8
J’ajoute mes félicitations. L’article est à la fois dense en information et facile à lire.