Projet de loi RGPD : panorama des amendements au Sénat

Projet de loi RGPD : panorama des amendements au Sénat

RGPD S02E02

Avatar de l'auteur
Marc Rees

Publié dans

Droit

13/03/2018 13 minutes
5

Projet de loi RGPD : panorama des amendements au Sénat

Après l’Assemblée nationale, au tour du Sénat d’examiner le projet de loi sur le Règlement général sur la protection des données personnelles (RGPD). Une première salve d’amendements a été déposée en commission, avant examen au fond, en séance les 20 et 21 mars. Point d’étape.

Le RGPD entrera en application le 25 mai 2018. La date fatidique est source d’inquiétudes pour de nombreuses entreprises et collectivités. Et pour cause, contrairement à une directive, un règlement n’a en principe pas besoin d’une quelconque transposition. D'autant que les mesures envisagées par le texte sont très ambitieuses (droit à la portabilité, droit à l’oubli, sanctions, etc.)

Un règlement pertinent, mais un diable dans les détails

Un tel véhicule est le plus pertinent lorsque le législateur européen souhaite une application harmonieuse dans l’ensemble des États membres. Cependant, comme on l’a vu dans notre long dossier analysant chacune de 99 dispositions, tout n’est pas si simple dans le RGPD. 

Le texte accorde à plusieurs reprises des marges de manœuvre aux États membres pour tenir compte des spécificités nationales dans l’intégration de cette future législation. On trouve à 15 occasions « Les États membres peuvent » dans le corps du texte, soit autant de leviers optionnels. Il y a en toute une cinquantaine d’options, selon ce rapport publié par le Sénat (page 21). 

Résultats ? Au lieu d’un dispositif uniforme, des spécificités locales seront maintenues, entrainant des différences normatives. En France, un projet de loi a donc été déposé pour actionner ces leviers, tout en préparant la mise à jour du socle en vigueur qui se fera par voie d’ordonnance, une habitude de la maison Macron qui agace quelque peu au Sénat.

Après son examen par les députés, que prévoit en substance ce projet de loi examiné en commission des lois au sein de cette chambre ?

Le projet de loi sur le RGPD

Sans surprise, la CNIL est désignée autorité de contrôle nationale pour l’application du RGPD. À elle d’établir en conséquence les lignes directrices, les bases de la certification, bref toute la base documentaire programmée par le règlement pour aider les acteurs, en particulier les PME, dans leur  mise en conformité.

Le texte du 25 mai introduit en effet une logique de responsabilité où chacun devra garantir un haut niveau de protection, de la conception jusqu’à l’effacement, en passant par le traitement.

Le gouvernement n’a pas souhaité mettre à plat la loi de 1978, afin de conserver un texte symbolique dans l’esprit des Français. Conclusion, un grand lot de rustines y est appliqué, parfois non prévues par le texte européen. Ainsi, la CNIL pourra être consultée par le président des deux chambres du Parlement pour toutes les propositions de loi touchant à la question des fichiers. Ce pouvoir est étendu aux commissions parlementaires ou à la demande d’un président de groupe politique.

Les pouvoirs d’enquêtes de l’autorité ont été aiguisés pour s’étendre dans tous les lieux, avec à la clef un puissant droit de communication, qui s’arrêtera en principe au secret médical, au secret de l’avocat et au secret des sources des journalistes. Les agents de la CNIL auront le droit d’utiliser des identités d’emprunt sur les réseaux lors de leur contrôle à distance.

L’article 5 organise pour sa part la question de la coopération entre les autorités de contrôle pour les affaires exposant des traitements étalés entre plusieurs États membres.

La commission voit également son pouvoir de sanction affuté, avec notamment un pouvoir d’astreinte pouvant aller jusqu’à 100 000 euros par jour pour faire plier les résistances. Elle pourra aussi envisager une sanction de 20 millions d’euros et 4 % du chiffre d’affaires (mondial, même si cette précision n’a pas été apportée par le projet de loi).

On pourra relire notre actualité détaillée sur le projet de loi, mais retenons encore que l’âge à partir duquel un mineur est en capacité juridique d’autoriser le traitement de ses données est abaissé à 15 ans, contre 16 dans le RPGD ou 13 au Royaume-Uni.

L’âge du consentement des mineurs dans les premiers amendements

Dans la liasse des premiers amendements déposés en vue de l’examen en commission des lois au Sénat, plusieurs parlementaires ont tenté de corriger la version finalement adoptée par les députés.

Justement, sur la question du consentement des mineurs, plusieurs sénateurs s’opposent à cet abaissement et préfèrent conserver la norme des 16 ans prévue par le texte européen (COM-11  et COM-59).

Pour des parlementaires LR, « si le règlement laisse aux États la possibilité d’une dérogation, il ne semble pas pertinent d’y recourir. Dans un souci de protection des mineurs, il est légitime que des parents puissent expliquer à des adolescents ce qu’implique la diffusion de leurs données, notamment sur les réseaux sociaux ».

La situation des collectivités locales, source d’inquiétudes

Les amendements COM-27 et 28 proposent ainsi d’améliorer expressément l’accompagnement des collectivités locales par la CNIL.

Des structures considérées comme oubliées du projet de loi, alors qu’elles gèrent bon nombre de données personnelles. Un amendement COM-40 entend d’ailleurs les exclure de certaines sanctions que pourrait décider la CNIL (amendes administratives et astreintes). L’enjeu ? « Dédramatiser chez les petits acteurs locaux les efforts de mise en conformité avec le règlement ».

Le COM-78 veut instaurer quant à lui une dotation communale pour la protection des données à caractère personnel. Un prélèvement sur les recettes de l’État dont le montant dépendrait du nombre d’habitants dans la commune considérée. L’objectif ? Aider les collectivités à se conformer au règlement, là encore. 

La saisine de la CNIL par des parlementaires

Le COM-15 compte autoriser l’ensemble des parlementaires à saisir la CNIL dès la conception des propositions de loi, et pas seulement lors du dépôt.

Cet autre amendement veut, lui, restreindre cette saisine aux seuls présidents des deux chambres, considérant que « formaliser une saisine directe de la CNIL par d’autres personnalités que les présidents des assemblées rigidifierait inutilement la procédure et romprait avec les mécanismes classiques qui régissent les relations institutionnelles entre le Parlement et les autorités administratives indépendantes ». On pourra voir cette rustine, plus énergique encore.

« Souplesse » dans les travaux de la CNIL

À l’article 2 du PJL, plusieurs sénateurs veulent muscler l’indépendance des membres de la CNIL. Ils seraient tous nommés pour cinq ans et leur mandat ne serait pas renouvelable. 

D’autres dispositions veulent apporter une certaine « souplesse » dans l’organisation des travaux de la CNIL. L’amendement COM-35 signé de la rapporteure Sophie Joissains (Union Centriste) estime que le projet de loi n’a pas à s’occuper de la publicité de l’ordre du jour de la CNIL. Non que la sénatrice s’oppose à cette idée, mais elle relève tout simplement selon elle du décret et donc d’une décision gouvernementale.

À l’article 4, Claude Raynal (PS) revient sur l’usage des identités d’emprunt par les agents de la CNIL. Il veut préciser que « l'utilisation d'une identité d'emprunt ne peut servir à inciter à commettre une infraction ». Elle serait ainsi limitée aux seuls constats d’une infraction consommée ou en gestation, pas plus (l'amendement). 

Flécher le fruit des sanctions au profit de la conformité

Sur le terrain des sanctions, la rapporteure part du principe selon lequel « chacun s'accorde à dire qu'un grand nombre de responsables de traitement ne seront pas prêts, dès le 25 mai 2018, pour assumer leurs nouvelles obligations issues du RGPD ».

De ce fait, elle voudrait que les produits des sanctions pécuniaires et des astreintes prononcées par la CNIL servent « à financer l'assistance apportée par l'État aux responsables de traitements et à leurs sous-traitants, afin qu'ils se conforment » au règlement. Un principe vertueux selon lequel « l'argent de la protection des données va à la protection des données ».

Les données sensibles

Dans le chapitre des traitements de données, une série d’amendements s’intéresse aux données dites sensibles.

À l’article 7, le projet de loi pose un principe d’interdiction de traitement...

« des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

Le sénateur Raynal considère que l’expression « de manière unique » est trop restreinte.

Pourquoi ? « L'identification biométrique se basant sur une correspondance statistique entre deux mesures corporelles, elle ne peut identifier de manière unique un individu. Même les systèmes biométriques les plus performants, s'ils peuvent discriminer deux personnes, ne peuvent de manière unique identifier un individu, puisque par nature, il ne s'agit là que d'une probabilité et non d'une certitude ». Son amendement COM-18 entend en conséquence supprimer ce passage.  

Open Data des décisions de justice, algorithmes

D’autres amendements sont à relever. Le COM-26 veut muscler la définition du consentement  au traitement dans le cadre de la recherche en matière de santé.

Le COM-52 vise à rendre plus complexe le mouvement d’Open Data des décisions de justice puisque « les modalités de cette mise à disposition préviennent tout risque de ré-identification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d'atteinte à la liberté d'appréciation des magistrats et à l'impartialité des juridictions ».

Autant dire un joli filtre au maillage serré avant diffusion des décisions.

Signé de la rapporteure, le COM-60 est beaucoup plus positif puisqu’il concerne l’article 14, celui relatif aux décisions prises sur le fondement des algorithmes. Nous y reviendrons plus en détail, mais remarquons qu’il fait sauter le contournement introduit par le gouvernement permettant à l’administration de ne pas répondre aux demandes de transparence relatives au traitement Parcoursup.

Dans l’amendement COM-20, le sénateur Raynal veut d’ailleurs rendre « obligatoire la transmission, sur demande, tant du cahier des charges que du code source avec ses commentaires » des algorithmes.

Des garde-fous… dans les roues de l’action de groupe

Deux sénateurs LR comptent « mettre des garde-fous aux actions de groupe », celles qui viseraient  « à désorganiser les services et à encourager systématiquement les usagers à faire des demandes en masse en vue de demande de dommages et intérêts ».

Plutôt que de sanctuariser les class actions en matière de données personnelles, ils proposent d’introduire une discrète médiation, soumise par principe à la confidentialité sauf accord des deux parties.  Un joli filre ! (COM-3)

Mieux. La rapporteure entend reporter au 25 mai 2020 la possibilité d’engager la responsabilité d’une personne ayant causé un dommage, toujours dans le cadre d’une action de groupe.

Pourquoi ? « Il convient de laisser aux responsables de traitement, et notamment aux collectivités territoriales les plus petites ainsi qu'aux TPE-PME, le temps de se conformer aux nouvelles obligations issues du règlement général sur la protection des données, sans les exposer dès son entrée en vigueur au risque d'affronter une action de groupe en réparation des préjudices causés par leurs éventuels manquements ».

Sauf que son texte concerne tous les responsables de traitement, même les monstres des réseaux sociaux…. 

Dans le COM-65, elle veut aussi que seules les associations agréées ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel puissent agir dans le cadre d’une class action.

Le choix, en phase terminale

Au COM-14, on retrouve un peu la logique de l’amendement « Qwant » à l’Assemblée. Il veut interdire, sur un « terminal » notamment, la possibilité de ne pas tenir compte de la complétude du consentement de la personne physique. « Les utilisateurs d’un terminal [doivent] avoir le choix de services équivalents offrant de meilleures garanties de protection des données personnelles, lorsque des services de communication au public en ligne sont préinstallés » explique le sénateur Raynal.

Celui-ci propose une piste : que l’utilisateur ait le choix entre différents services lorsqu’il tient un terminal entre ses mains, notamment sur la question des moteurs de recherche :

« la quasi-totalité des smartphones commercialisés en France et en Europe sont équipés d’un système d’exploitation mobile qui impose par défaut le même moteur de recherche à leurs utilisateurs à travers tous les points d’entrée de recherche (navigateur, barre de recherche, assistant vocal…).  Par l’effet de clauses insérées dans des contrats type liés au système Android, les fabricants et distributeurs de terminaux mobiles qui souhaitent utiliser ce système d’exploitation et donner accès à son indispensable écosystème d’applications n’ont pas d’autres choix que d’installer par défaut ce moteur de recherche sur tous les points d’entrée possibles, sans offrir la possibilité d’en choisir un autre ».

Des amendements portant sur l’article 19 et suivants concernent en particulier un autre paquet de normes, celles relatives à la prévention et la détection des infractions pénales. Retenons le COM-69 qui veut « soumettre la création d'un traitement de données à caractère personnel mis en œuvre à des fins de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales à l'autorisation préalable de la CNIL ». Une disposition déjà en vigueur dans la loi CNIL qui serait ainsi sacralisée. 

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un règlement pertinent, mais un diable dans les détails

Le projet de loi sur le RGPD

L’âge du consentement des mineurs dans les premiers amendements

La situation des collectivités locales, source d’inquiétudes

La saisine de la CNIL par des parlementaires

« Souplesse » dans les travaux de la CNIL

Flécher le fruit des sanctions au profit de la conformité

Les données sensibles

Open Data des décisions de justice, algorithmes

Des garde-fous… dans les roues de l’action de groupe

Le choix, en phase terminale

Commentaires (5)


Enorme:





Amendement 89 - Objet:




 Le Gouvernement sollicite du Parlement une habilitation afin  d'effectuer par ordonnance une « recodification » de la loi Informatique et libertés et de procéder aux nombreuses mises en cohérence qu'il  affirme ne pas avoir eu le temps de faire dans le texte présenté.       






Tout en reconnaissant la grande complexité légistique de la tâche à  accomplir, le manque d’anticipation flagrant du Gouvernement est  regrettable : le contenu du règlement et de la directive était connu dès   avril 2016, il y a désormais près de deux ans !       



 



 Par le présent  amendement, la commission des lois du Sénat entend signifier au  Gouvernement sa vive désapprobation du procédé ; en supprimant à ce  stade purement et simplement cette habilitation, elle laisse au  Gouvernement le soin, s’il le souhaite, de venir en Séance expliquer les raisons de cette impréparation, rétablir l’habilitation sollicitée et  préciser les contours du futur texte résultant de cette ordonnance."



 



<img data-src=" />


Et pour cause, contrairement à une directive, un règlement n’a en principe pas besoin d’une quelconque transposition.

Normal, les lois des états membres doivent être adaptées quand c’est un règlement et quand c’est une directive c’est une tranposition.








xillibit a écrit :



Et pour cause, contrairement à une directive, un règlement n’a en principe pas besoin d’une quelconque transposition.



Normal, les lois des états membres doivent être adaptées quand c'est un règlement et quand c'est une directive c'est une tranposition.








Oui mais là, ils dérangent plus qu'ils arrangent... lorsque tu vois qu'ils mélangent droit au verrouillage et droit à la limitation (sans rependre la définition pourtant donnée par le règlement), et qu'ils zappent la coresponsabilité du traitement... ben tu te dis qu'en touchant à rien au moins ils n'ajouteraient pas à la confusion, tandis que la RGPD est déjà peu limpide sur certains points, il (on) n'avait pas besoin de ça ^^


C’est très simple, soit le texte une fois adopté est porté par l’un des présidents de chambre devant le Conseil Constitutionnel qui va le retoquer, soit il remonte la voie des Questions Prioritaires de Constitutionnalité et va finir devant la Cour de cassation ou le Conseil d’Etat qui va le renvoyer devant le Conseil Constitutionnel. Ce dernier va lui-même poser une question préjudicielle devant la CJUE portant sur la conformité du texte français par rapport au Règlement et le Conseil Constitutionnel va renvoyer le législateur au travail en censurant le texte.



Mais le Règlement est directement applicable en lui-même, et toute disposition de la loi française le contredisant sont de facto nulles et non-avenue. La nouvelle mouture de a loi informatique et liberté ne doit régir que les dispositions qui ne sont pas couvertes par le Règlement ou qui concernent les exceptions prévues par ledit Règlement. C’est clair net et précis et visiblement nos parlementaires font vraiment amateur.



S’ils veulent vraiement légiférer, et de façon qualitative, qu’ils abandonnent leur mandat français pour se faire élire au Parlement européen.


Le Conseil Constitutionnel ne juge que par rapport à la Constitution qui est d’un ordre supérieur aux règlements européens. Elle n’a pas à intervenir si la loi française est en contradiction avec un règlement européen.



Par contre, la Cour de Cassation ou le conseil d’État peuvent statuer directement ou poser une question préjudicielle à la CJUE.