L’Assemblée termine l’examen du projet de loi RGPD : on fait le point

Données, c'est voté 14
Accès libre
image dediée
Crédits : Assemblée nationale
Loi
Xavier Berne

Les députés ont achevé, peu après minuit, l’examen du projet de loi adaptant le droit français au Règlement européen sur la protection des données personnelles (RGPD). Compte rendu des débats de cette nuit.

Après deux jours de discussions en séance publique, l’Assemblée nationale aura adopté un peu plus de 40 amendements au texte porté par Nicole Belloubet, la ministre de la Justice (sur près de 180). Et pour cause : les travaux en commission avaient déjà conduit les élus du Palais Bourbon à modifier substantiellement certains passages du « projet de loi RGPD » (voir nos deux articles).

Si les débats de mardi ont principalement porté sur la CNIL, ceux d’hier se sont révélés bien plus variés : action de groupe, âge légal du consentement des mineurs, introduction d’un « droit moral » de chaque individu sur ses données personnelles, sensibilisation des élèves au numérique, etc.

Pas de nouvel élargissement de l’action de groupe en matière de données personnelles

Jusqu’ici limitée à la cessation d’un manquement à la loi Informatique et Libertés (par exemple le colmatage d’une fuite de données), l’action de groupe en matière de données personnelles devrait à l’avenir permettre aux victimes de réclamer une réparation de leur préjudice, matériel comme moral. L’Assemblée s’est en effet opposée à un maintien du statu quo, qui aurait pourtant été préféré par quelques élus Les Républicains au nom de l’attractivité économique de la France.

En revanche, les députés ont refusé de revoir la liste, plutôt restreinte, des organisations pouvant engager une telle procédure devant la justice. Des élus de l’opposition et du Modem demandaient que dans certains cas de figure (par exemple s’il « n’existe pas d’association compétente ou ayant un intérêt à agir », ou si l’organisation sollicitée « reste inactive et n’agit pas en justice même quinze jours après mise en demeure par les usagers susvisés »), des individus victimes d’un même manquement puissent se tourner vers les tribunaux, via un avocat.

La rapporteure et le gouvernement se sont opposés à cette proposition au motif que l’article 80 du RGPD, relatif aux actions de groupe, permet uniquement aux victimes de se faire représenter au travers d’un « filtre » de type organisation ou association à but non lucratif.

La « majorité numérique » maintenue à 15 ans, avec quelques ajustements

Si le RGPD fixe à 16 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données, par exemple lors de son inscription à Facebook, chaque État membre peut abaisser ce seuil jusqu’à 13 ans. En commission, les députés ont ainsi choisi de fixer cette « majorité numérique » à 15 ans.

Différentes positions se sont affrontées hier, entre les tenants d’un abaissement à 13 ans et ceux qui, au contraire, plaidaient pour son relèvement à 16 ans.

« À partir du moment où les enfants sont en possession de leur téléphone mobile, il est très difficile, voire quasiment impossible, de contrôler les réseaux sur lesquels ils s’inscrivent » a ainsi fait valoir Christine Hennion, qui plaidait pour un seuil de 13 ans. L’élue LREM a expliqué qu’il serait surtout « impossible de vérifier l’âge effectif des personnes inscrites sur ces réseaux [sociaux], sauf à mettre en œuvre des mesures de profilage ou à procéder à des vérifications d’identité qui seraient tout à fait contraires au règlement ».

« S’il est vrai que bon nombre de jeunes s’inscrivent aujourd’hui sur les réseaux sociaux sans en demander la permission ou sans en avertir leurs parents, il est important de rappeler un vieux proverbe latin auquel cette assemblée devrait se référer plus souvent : le fait ne constitue pas de lui-même un droit » a de son côté soutenu Emmanuelle Ménard, qui militait pour un retour à 16 ans. « Un certain nombre d’adolescents de quinze ans ou plus sont peut-être conscients des risques, mais à mon avis, la majorité d’entre eux ne le sont pas », s’est-elle justifiée.

Les députés de La France Insoumise souhaitaient quant à eux fixer cette « majorité numérique » à 13 ans, pour mieux coller à la « réalité » des pratiques des jeunes, mais demandaient à ce qu’une information claire et adaptée soit fournie aux mineurs – sous peine de sanctions.

Paula Forteza a toutefois obtenu un maintien du « consensus » trouvé en commission. La rapporteure y avait alors fait valoir que l’âge de 15 ans correspondait à « un moment où le mineur rentre au lycée. C'est un moment où il y a une maturité suffisante pour maîtriser les usages sur Internet, et c'est un seuil que nous retrouvons aussi dans différents domaines (par exemple le seuil de consentement en matière de sexualité, en matière de données de santé). » 

forteza
Paula Forteza - Crédits : Assemblée nationale

Néanmoins, les mineurs de moins de 15 ans pourront toujours s’inscrire sur des réseaux sociaux. Ces derniers seront seulement tenus de recueillir le consentement du jeune ET de ses parents. Dans un tel cas de figure, la plateforme en question devra transmettre à l’utilisateur les informations relatives au traitement (identité du responsable, finalité, durée de conservation des données...) « dans un langage clair et facilement accessible » – suite à l’adoption d’un amendement du député Philippe Gosselin (LR).

Vers une meilleure sensibilisation des élèves aux questions de données personnelles

Alors que tous les élèves disposent en principe, au cours de leur cursus obligatoire, d’une sensibilisation aux droits et devoirs « liés à l'usage de l'internet et des réseaux, dont la protection de la vie privée et le respect de la propriété intellectuelle » (dans le cadre leur « formation à l'utilisation des outils et des ressources numériques »), les députés ont souhaité hier que ces cours soient élargis aux « règles applicables aux traitements des données à caractère personnel ».

En revanche, l’Assemblée n’a adopté aucun des amendements qui visaient à instaurer un régime juridique spécial pour les données relevant du domaine scolaire (lequel aurait été contraint notamment par des référentiels et règlements types établis par la CNIL).

La rapporteure a déclaré que des travaux étaient en cours avec l’exécutif sur ce dossier, une mission ayant notamment été confiée le 13 novembre dernier à l’Inspection générale de l’administration de l’Éducation nationale. Paula Forteza espère en ce sens arriver « d'ici la seconde lecture » à un dispositif « co-construit » avec le gouvernement « pour aboutir à la transparence des traitements de données personnelles effectués dans le cadre scolaire ».

Retrait de l’amendement « anti-Google »

Éric Bothorel, qui souhaitait interdire l’installation « par défaut » de Google sur les smartphones et navigateurs web, a finalement retiré son amendement. L’élu LREM voulait plus exactement que les fabricants et distributeurs de terminaux, fixes comme mobiles, proposent « explicitement » « le choix d’un service qui ne collecte et ne conserve pas de données personnelles associées aux recherches effectuées ».

La ministre de la Justice s’est dit « sensible » à l’objectif de cet amendement (qui visait tant à protéger les utilisateurs qu’à favoriser la concurrence), mais a estimé que l’étude de ses implications économiques, industrielles et juridiques méritait d’être approfondie. Nicole Belloubet a surtout longuement expliqué que le RGPD satisfaisait « une partie » des objectifs visés par le parlementaire :

« L'article 25 du règlement et son considérant 78 imposent déjà au responsable du traitement de proposer des biens ou services qui offrent par défaut ou dès leur conception le plus haut niveau de protection des données personnelles (...). Cela signifie que l'utilisateur d'un smartphone ne pourra donc pas se voir imposer l'utilisation par défaut d'un navigateur donné. Il pourra demander au fabricant du téléphone de lui permettre d'installer un autre navigateur, plus respectueux d'une collecte de données, en faisant valoir qu'il n'a pas donné librement son consentement au traitement de ses données par le navigateur qui aurait été pré-installé. »

Éric Bothorel a déclaré qu’il se mettait « immédiatement au travail » pour faire « progresser » son amendement « et le faire aboutir dans des délais respectables » – vraisemblablement au travers d’un autre véhicule législatif.

Détricotage de la loi Numérique

Alors que la « loi Lemaire » de 2016 anticipait la mise en œuvre du règlement européen en prévoyant l’instauration, à partir du 25 mai 2018, d’un droit de récupération de ses données associées aux comptes de plateformes de type Facebook ou Deezer, l’Assemblée a choisi de faire disparaître ce dispositif qui faisait figure de doublon.

« L’articulation entre cette disposition et le droit à la portabilité des données prévu par l’article 20 du RGPD soulève des difficultés puisque les données qui doivent être transmises au consommateur recoupent celles qui doivent être communiquées à la personne concernée au titre du droit à la portabilité des données personnelles prévu par le RGPD », a ainsi soutenu Éric Bothorel, en défense de cet amendement déposé par l’ensemble du groupe majoritaire.

Nombreux amendements rejetés

Le groupe communiste, qui s’appuyait sur des positions de La Quadrature du Net et de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour réclamer des responsables de traitements un chiffrement des données qui leur sont confiées de bout en bout « chaque fois que cela est possible », n’a pas réussi à convaincre. « Le chiffrement est une mesure de sécurité parmi d’autres, qu’il n’y a pas lieu d’imposer de manière systématique au responsable de traitement, a rétorqué la Garde des Sceaux. Il appartient à ce dernier, conformément au principe de responsabilisation, d’apprécier ce qui est nécessaire. »

La rapporteure a également émis un avis défavorable, insistant par ailleurs sur le fait qu’un « travail de fond » était en cours sur ce dossier à la CNIL, conformément à ce qu’avait souhaité le législateur au travers de la loi Numérique.

Quant à l’amendement FN visant à imposer le stockage des données des citoyens français sur le territoire national, dans une optique notamment de développement économique, il a sans surprise été lui aussi rejeté. « Ce qui est important, ce n’est pas le lieu de stockage des données, mais le respect des droits des citoyens français, quel que soit le lieu où est installée l’entreprise » a objecté la rapporteure. Paula Forteza s’est justifiée en expliquant que le RGPD prévoyait « une extraterritorialité du droit européen », en vertu de laquelle « le droit qui a cours n’est pas celui du lieu où est situé le siège de l’entreprise, mais celui qui s’applique aux personnes dont les données sont traitées ».

« Les GAFA, par exemple, devront se conformer au droit européen s’ils traitent des données de citoyens européens » a-t-elle fait valoir. Même son de cloche du côté de la ministre de la Justice, cette dernière ayant ajouté que cette proposition « serait difficilement applicable » et très probablement contraire au principe de libre circulation des services (cher au droit européen).

belloubet
Crédits : Assemblée nationale

Autres amendements rejetés : ceux du groupe GDR sur l’IP Tracking. L’idée ? Assimiler expressément le fait de géolocaliser un internaute afin de lui proposer une publicité ciblée comme une pratique commerciale trompeuse. La ministre de la Justice a déclaré qu’il s’agissait de cavaliers législatifs, dès lors susceptibles d’une censure du Conseil constitutionnel.

L'amendement du groupe socialiste visant à ce que les administrations explicitent « systématiquement » (et non plus sur demande) le fonctionnement des algorithmes servant à prendre des décisions individuelles a lui aussi connu le même sort. Nous y reviendrons ultérieurement.

L'amendement des députés LFI, qui souhaitaient avancer sur la définition de neutralité du Net, est également à ranger du côté de ceux qui resteront dans les cartons. « Ce principe devrait plutôt être inscrit dans la Constitution » a néanmoins affirmé Paula Forteza, qui a porté il y a peu cette proposition dans le cadre des groupes de travail sur la future réforme constitutionnelle (voir notre article).

Pas de patrimonialisation des données personnelles

Dans la lignée des positions du think tank Génération libre sur l’instauration d’un « droit de propriété » sur les données personnelles, le député Bruno Bonnell voulait que le Code de la propriété intellectuelle reconnaisse que chaque citoyen « jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise ».

« Chacun aura ainsi le loisir de léguer [ses données personnelles] à ses héritiers, de les mettre à la disposition librement de la communauté. Mais surtout, il détiendra une autorité sur son intégrité numérique » a soutenu l’élu LREM dans l’hémicycle. « Nombre d’objets et d’images de civilisations disparues désormais protégés au nom de la préservation du patrimoine et exposés dans les vitrines des musées n’ont jamais été pensés ou réalisés par autre chose que les nécessités et les routines du quotidien. Nous devons considérer que nos données numériques sont du même ordre. »

« Instituer un droit de propriété sur les données personnelles serait un peu dangereux et irait à l’encontre de la circulation et de la réutilisation des données, qui sont, de nos jours, source d’innovation », a cependant rétorqué Paula Forteza, avant d’émettre un avis défavorable. Nicole Belloubet, sur le banc du gouvernement, s’est également opposée à cette initiative.

Aucune « présomption de conformité » ne sera accordée

Alors que le RGDP est applicable à compter du 25 mai 2018, différents élus LR demandaient enfin à ce que les traitements autorisés avant cette date bénéficient d’une « présomption de conformité » au texte européen. L’idée : instaurer un régime de transition « de nature à apporter de la sérénité aux entreprises » et de « leur éviter de subir de nouvelles contraintes, le cas échéant financières », a soutenu Philippe Gosselin.

Mais pour la majorité, pas question d’instaurer un tel dispositif, le RGPD prévoyant que les traitements en cours à la date d’application du règlement doivent être mis en conformité avec celui-ci sous deux ans à compter de son entrée en vigueur. « La Commission européenne sera très vigilante sur ce point et pourrait sanctionner toute disposition allant dans le sens d’une présomption de conformité », a prévenu la Garde des Sceaux. Paula Forteza a d’autre part souligné que « la CNIL adoptera, de manière informelle, une approche non pas de sanction mais plutôt d’accompagnement des acteurs pour les aider à se mettre en conformité ».

Un dernier vote solennel, sur l’ensemble du texte, est prévu mardi 13 février. Le texte sera ensuite transmis au Sénat. Ce projet de loi ayant été engagé sous procédure accélérée, une commission mixte paritaire devrait ensuite se réunir, afin de chercher un compromis entre députés et sénateurs.


chargement
Chargement des commentaires...