Projet de loi RGPD : on a fait le tour des amendements pour la séance au Sénat

Projet de loi RGPD : on a fait le tour des amendements pour la séance au Sénat

Le Sénat dans la nasse

Avatar de l'auteur
Marc Rees

Publié dans

Droit

20/03/2018 16 minutes
5

Projet de loi RGPD : on a fait le tour des amendements pour la séance au Sénat

Les sénateurs ausculteront en séance le projet de loi sur les données personnelles aujourd’hui et demain. Plusieurs amendements ont été déposés à cet égard. Tour d’horizon des principales modifications sollicitées sur le texte déjà voté par les députés et adapté en commission des lois.

Le projet de loi RGPD a un double objet : d’une part, adapter notre droit interne à l’arrivée du RGPD le 25 mai 2018. D’autre part, activer certaines options ouvertes par le législateur européen au sein même de ce règlement. Ce sont les fameuses « marges de manœuvre » ouvertes aux États membres dont l’une des plus connues est sans doute l’âge à partir duquel un mineur est juridiquement en capacité de consentir à ce que ses données personnelles soient traitées.

En préparation de l’examen en séance, les sénateurs ont déposé près de 150 amendements afin de faire bouger les lignes fixées lors des échelons précédents, par le gouvernement lors du dépôt initial, par les députés puis par la commission des lois au Sénat.

Code de conduite et protection des illettrés du numérique

Outre la question des compteurs Linky ou Gazpar et l’action de groupe en matière de données personnelles, de nombreux sujets suscitent l’intérêt des sénateurs. Un amendement (29) entend ainsi inciter la CNIL à tenir compte de nouveaux risques lorsqu’elle sera amenée à encourager l’élaboration de codes de conduite.

Pour mémoire, ces codes, prévus par le RGPD, sont rédigés par des associations ou d’autres organismes représentant des catégories de responsables de traitement afin de « préciser les modalités d'application » du règlement.

Quels sont les risques que voudraient voir pris en compte par son auteur, la sénatrice Maryse Carrère (RDSE) ? Outre la protection des mineurs, déjà ciblée par le règlement européen, il s’agira de prévoir des dispositions particulières à l’égard des « personnes dépourvues de compétences numériques », notamment les personnes âgées.

Droit de consultation de la CNIL

Le projet de loi ouvre un droit de consultation dans les mains du président de l’Assemblée nationale ou celui du Sénat « sur toute proposition de loi ou sur toute disposition d’une proposition de loi relative à la protection ou au traitement des données à caractère personnel ».

L’amendement (15) veut doter 60 députés ou 60 sénateurs ainsi que toute association agréée du pouvoir de saisir la commission. «  Il s'agit, explique le sénateur Alain Marc (Les Indépendants), de mettre en place une initiative de saisine parlementaire de la CNIL et une initiative de saisine citoyenne de la CNIL, fondamentale au renforcement de la participation citoyenne à la vie publique ».

Alain Marc, encore, propose aussi que la CNIL exerce « une mission d'information des élèves du premier et second cycle, ainsi que de l'enseignement supérieur, aux libertés fondamentales sur le Net, confiée à la CNIL ».

Selon le parlementaire, « il est essentiel que l'école forme les jeunes aux dangers du numérique » et cette mission tomberait merveilleusement bien pour « préfigurer le projet de loi "Fake News", envisagé par le Gouvernement, visant à prévenir le public jeune d'une désinformation numérique sur les grands sujets d'actualité » (amendement 18).

L’Éducation nationale et les services numériques

Alain Marc, toujours, a déposé un autre amendement (20) ambitieux. Il propose tout simplement d’interdire « de traiter des données à caractère personnel collectées dans le cadre de l’utilisation de services numériques au sein de l’éducation nationale ».

Dans l’exposé des motifs, il précise vouloir « protéger les jeunes élèves », « publics fragiles, souvent imprudents sur les supports numériques avec leurs données personnelles ». Le fait est que collecter est déjà traiter, selon les définitions apportées l’article 4 du RGPD. Surtout, si un tel texte passait, sa générosité impliquerait, presque de facto, l’arrêt de l’ensemble des outils informatiques dans les établissements…

Imbroglio sur le champ d’application territoriale

L’article 8 est important. Il traite du champ d’application territorial des futures normes injectées par ce projet de loi sur les données personnelles. En l’état actuel, les règles nationales « s'appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n'est pas établi en France » (le dernier alinéa prévoit une exception qui concerne en particulier les éditeurs de presse). On appliquerait cette fois la loi du pays européen où cette entreprise est installée.

Ces dispositions s’appliqueraient en complément du règlement général sur la protection des données personnelles qui prévoit d’autres critères d’application territoriale.

Comme nous l’avons vu dans notre analyse ligne par ligne, l’article 3 du RGPD veut que les dispositions du texte européen s’appliquent à tous les traitements de données effectués « dans le cadre de l’exercice effectif d'un établissement d’un responsable (…) ou d’un sous-traitant sur le territoire de l'Union ».

Dès lors qu’un établissement, lieu d’« exercice effectif et réel d'une activité au moyen d'un dispositif stable », est en Europe, le RGPD s’applique. Toutefois, un deuxième critère permet de garantir son application au-delà des frontières, puisque le règlement s’applique également à toutes les offres de biens ou services, mais aussi le suivi de comportements (profilage, prédiction, etc.) visant des personnes physiques au sein de l’Union.

Sénat
Crédits : Marc Rees (licence: CC by SA 3.0)

Entre le RGPD et le projet de loi, on comprend la difficulté pointée par l’association Aeon, spécialisée dans le droit des nouvelles technologies : le champ territorial des mesures spécifiques au projet de loi français est différent de celles programmées par le RGPD.

Les conséquences sont pour le moins absurdes puisque, prévient cette association, « le critère retenu dans le projet de loi, parce qu’il est fondé sur le lieu de résidence de ces personnes concernées, obligerait les responsables de traitements à collecter cette donnée même lorsqu’elle n’est pas nécessaire pour les objectifs poursuivis par le traitement, aux seules fins de vérifier si, oui ou non, la loi française leur est applicable ».

Pour elle, « il en résulte une aggravation manifeste et indésirable de l’atteinte à la vie privée des personnes », outre un problème de lisibilité des textes et un risque évident de conflit de lois si d’autres États membres optent pour des critères différents (par exemple fondés sur la nationalité, plutôt que le lieu de résidence).

Dans l’amendement (13) déposé par Marie-Thérèse Bruguière (LR), l’idée est de remettre de l’ordre en alignant les critères français sur celui du RGPD. 

Chiffrement de bout en bout dès que possible

La même sénatrice a déposé un autre amendement (7) qui consiste cette fois à pousser au chiffrement des données de bout en bout chaque fois que cela est possible.

Le chiffrement deviendrait la norme, alors qu’il était jusqu’à présent, dans la bouche de bon nombre de représentants politiques, vu que comme un facteur de risque. Cet ajout a été inspiré par la Quadrature du Net.

L’open data des décisions de justice

Nous avons déjà évoqué la question de l’Open Data des décisions de justice, contrarié en l’état actuel. Un amendement (COM-52) adopté en commission des lois met en effet de gros bâtons dans les roues de ce système. Il prévoit que les « mises à disposition » des décisions de justice devront toujours prévenir « tout risque de ré-identification des juges, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d'atteinte à la liberté d'appréciation des juges et à l'impartialité des juridictions ». En somme, un black-out rendant bien difficile l’accès de ces données aux citoyens.

Les sénateurs LREM ne veulent pas de cette occultation. Ils ont déposé un amendement (55) pour revenir sur l’occultation des noms des magistrats et des avocats dans les décisions de justice. « En souhaitant anonymiser intégralement les magistrats et avocats, [cet article] contrevient à cette disposition historique et essentielle, garante du droit à un procès équitable ».

Le gouvernement a lui aussi déposé un amendement (88) estimant que « la rédaction proposée par la commission impose que la diffusion des décisions de justice prévienne tout risque de ré-identification. Il s’agit là d’un objectif impossible à atteindre, sauf à enlever des parties entières des décisions de justice avant leur diffusion au public. Elles seraient alors complètement illisibles ».

Inspirée, la sénatrice Laure Darcos (LR) a déposé un amendement (9) afin de créer une exception au bénéfice des seuls éditeurs juridiques. « Les personnes morales de droit privé dont l’activité principale consiste en l’étude et l’analyse, y compris statistique, du droit disposent de ces jugements sans anonymisation préalable des parties concernées, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la ré-identification des personnes concernées ».

Selon elle, « ces acteurs ne sauraient être assimilés aux ré-utilisateurs entendus dans leur acceptation la plus large et doivent pouvoir disposer d’un accès distinct aux informations publiques figurant dans les jugements ».

En clair, l’éditeur juridique n’est pas le citoyen lambda. Il doit pouvoir bénéficier d’un accès plein et entier à l’ensemble des décisions, ce qui lui permettra ainsi de poursuivre ses activités commerciales proposées aux cabinets d’avocats, ou autres citoyens lambda.

Le consentement

Dans un amendement (37), la sénatrice Maryse Carrère (RDSE) compte encadrer le droit d’utiliser des données personnelles à des fins commerciales. Ces utilisations ne seraient possibles « sans le consentement de la personne concernée ».

Toujours sur le consentement, la même voudrait que « le fait d’exiger d’une personne qu’elle autorise l’utilisation de ses données personnelles en contrepartie d’un bien ou d’un service, à moins que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou service, constitue un vice de consentement » (amendement 37).

Encadrement des services du renseignement

Dans ces trois amendements (34, 5), elle veut profiter de la fenêtre du RGPD pour encadrer les services du renseignement. Du moins, d’une manière beaucoup plus forte que ne le prévoit loi éponyme de juillet 2015.

D’un, elle veut que les services du renseignement alertent une personne lorsque la mesure de surveillance dont elle a fait l’objet prend fin. Elle serait donc informée « de la nature et de la durée de la technique, du type et du volume de renseignements recueillis, de la finalité ayant justifié le recueil et de l’identité du service, ainsi que de ses droits ».

Cette transmission ne pourrait être retardée « qu’en présence d’un risque manifeste et effectif de compromettre l’objectif qui a initialement justifié la mise en œuvre de la technique ».

La sénatrice s’appuie sur le droit reconnu par l’article 13 de la directive 2016/680 « relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales ».

Ensuite, elle souhaite permettre aux particuliers de saisir la justice à l’égard d’une mesure de surveillance internationale. L’article L. 854-9 du Code de la sécurité intérieure ne laisse cette option qu’entre les mains de la Commission nationale de contrôle des techniques du renseignement. « Cette absence de voie de recours juridictionnel est parfaitement contraire aux exigences de la directive [précitée] et doit être corrigée » estime-t-elle.

Enfin, elle demande l’encadrement du transfert des renseignements collectés par les autorités françaises auprès d’autres autorités, notamment étrangères. La CNCTR serait investie du pouvoir de contrôler ces opérations.

Le sujet inspire le groupe PS également. Dans l’amendement (127), le groupe veut que la CNIL puisse contrôler la conformité des traitements effectués par les services du renseignement.

« Dans une démocratie avancée et responsable, écrivent les sénateurs, le contrôle de l’activité des services de renseignement et notamment des fichiers qu’ils produisent, qu’il s’agisse de l’usage des techniques de renseignement comme de son résultat en termes de données collectées et traitées répond à une exigence légitime pour tous ceux qui sont attachés au respect des droits de l’homme. »

Des paroles bien belles sauf si l’on se souvient qu’en 2015, Sergio Coronado et Isabelle Attard, alors députés, avaient déposé avec leurs collègues, un amendement identique

Cependant, le rapporteur (PS) Jean-Jacques Urvoas s’y était opposé vertement. Un tel amendement « est source de confusion, car il mélange les genres en associant deux autorités administratives indépendantes dont les missions sont distinctes ». Le gouvernement, par la voix de Jean-Yves le Drian, avait exprimé le même avis...

Droit de propriété et données personnelles

Dans l’amendement (26), le sénateur Alain Marc tente ce qui avait échoué à l’Assemblée nationale : créer un droit moral sur les données personnelles. « De même qu'il existe un droit de la propriété intellectuelle sur les écrits, il semble logique de créer un droit de la propriété intellectuelle sur les écrits publiés en ligne (sur un blog, sur un réseau social) » soutient le parlementaire.

« Média d'expression moderne, ajoute-t-il, il convient de reconnaître que le Net et les réseaux sociaux sont aujourd'hui un foyer de création artistique et intellectuelle. cet amendement entend reconnaître cette création numérique et accorder aux citoyens un droit d'exploitation des données numériques ». 

Début février, lors des débats à l’Assemblée, la rapporteure Paula Forteza (LREM) avait critiqué une telle assimilation : « Instituer un droit de propriété sur les données personnelles serait un peu dangereux et irait à l’encontre de la circulation et de la réutilisation des données, qui sont, de nos jours, source d’innovation. Il faut plutôt réfléchir à un droit d’usage, qui pourrait être partagé avec plusieurs acteurs, ce qui autoriserait la collecte et le traitement des données sous réserve, bien sûr, du respect du droit des individus ».

Le gouvernement s’y était opposé également. Nicole Belloubet, ministre de la Justice, jugeait qu’ « à  ce stade, il me semble globalement plus sage de préserver le cadre juridique équilibré que nous proposons que de s’engager dans la voie d’une patrimonialisation des données. Je ne suis d’ailleurs pas certaine que cela permettrait, in fine, de protéger davantage les détenteurs de données personnelles ».

Contrôle par les bailleurs sociaux

Dans l’amendement (44), une brochette de sénateurs LR compte autoriser les bailleurs sociaux et les collectivités territoriales à accéder au fichier de la Sécu et aux avis d’impositions des demandeurs. « Il leur est également possible de solliciter directement auprès de leur employeur la copie de leur contrat de travail ainsi que les trois dernières fiches de paie. »

Pour ces élus, « une telle possibilité offerte au responsable de traitement répond à deux intérêts légitimes que sont la lutte contre la fraude et l’égalité de traitement des administrés ».

morin-desailly
Catherine Morin-Desailly Crédits : Sénat

Droit au silence des puces

Dans l’amendement (79), Catherine Morin-Desailly veut concrétiser dans la loi sa proposition de résolution européenne relatif à la régulation des objets connectés

L’idée de la sénatrice Union centriste ? Que la CNIL puisse réclamer une certification sur certains objets connectés. Le cas échéant, la même commission devrait vérifier que ces objets « garantissent la possibilité de désactiver la collecte des données de l’utilisateur et (…) répondent à des exigences élevées en matière de sécurité ».

Cette notion d’ « exigence élevée » est assez curieuse puisque par définition tous les traitements de données encadrés par le RGPD doivent garantir un tel niveau au regard des données personnelles.

L’amendement Qwant en v2

Dans l’amendement (78), la même présidente de la commission de la culture propose une nouvelle version de l’amendement « Qwant », taillé contre Google.

Un peu chimique, la disposition qui lui a été inspirée interdit l’exploitation abusive par une entreprise d’une position dominante sur Internet. Mais attention, cette exploitation devrait tendre « à limiter l’accès au marché ou le libre exercice de la concurrence par d’autres entreprises » et surtout avoir pour objet ou effet « de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service. »

En d’autres termes, cet amendement mélange droit de la concurrence et celui des données personnelles pour tenter d’accentuer « le libre choix par les consommateurs de leurs outils numériques ».

Dans la liasse des nombreux amendements déposés par le gouvernement, relevons l’amendement (102). Sur le même sujet, il entend obliger les responsables de traitement en matière de terminaux mobiles à s’assurer que « les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final ».  

Droit à l’oubli sur toutes les extensions

Signalons son amendement (85) qui veut revenir sur une disposition votée par la commission des lois selon laquelle le produit des sanctions infligées par la CNIL servirait à aider les responsables de traitements à se conformer au RGPD. L’exécutif rappelle qu’un tel fléchage n’est possible que dans le cadre de la loi de finances.

Enfin, avec l’amendement (141) le groupe PS entend préciser la portée du droit à l’oubli pour étendre ce droit à l’effacement « sur l’ensemble des extensions du traitement ». 

Adopté, les moteurs de recherches auraient pour obligation de déréférencer les données personnelles tant sur le .fr que sur toutes les autres extensions, dont le .com. Cet article viendrait surtout contourner le contentieux entre Google et la CNIL, en cours devant le Conseil d’État, où une brochette de questions préjudicielles a été posée à la CJUE.

5

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Code de conduite et protection des illettrés du numérique

Droit de consultation de la CNIL

L’Éducation nationale et les services numériques

Imbroglio sur le champ d’application territoriale

Chiffrement de bout en bout dès que possible

L’open data des décisions de justice

Le consentement

Encadrement des services du renseignement

Droit de propriété et données personnelles

Contrôle par les bailleurs sociaux

Droit au silence des puces

L’amendement Qwant en v2

Droit à l’oubli sur toutes les extensions

Commentaires (5)


Contrôle par les bailleurs sociaux : « Il leur est également possible de solliciter directement auprès de leur employeur la copie de leur contrat de travail ainsi que les trois dernières fiches de paie. »

WTF ??? contre la fraude, je comprends qu’on puisse vouloir établir un lien avec l’employeur pour vérifier la véracité de l’emploi. Mais une attestation aurait été largement suffisante avec les 3 derniers bulletins de salaires (éventuellement obtenables directement auprès de l’employeur si on veut aller par là).

Mais qu’est-ce que leur apporte le contenu du contrat de travail sinon une une profonde intrusion dans la vie des locataires potentiels ?


Quelle est la différence entre un écrit et un écrit publié en ligne? Le droit d’auteur s’applique déjà sur les écrits publiés en ligne dans le cadre de la loi française puisque ce sont des oeuvres intellectuelles. Je ne vois pas en quoi il est nécessaire de créer un droit de la propriété intellectuelle sur les écrits publiés en ligne.

Et Internet n’est pas un média ! Argh !


y-a bcp. de choses, que j’ai du mal à comprendre dans leur PL !




  • m’enfin….ils doivent “avoir leur logique” ! <img data-src=" />






Cette transmission ne pourrait être retardée « qu’en présence d’un risque manifeste et effectif de compromettre l’objectif qui a initialement justifié la mise en œuvre de la technique ».



“La personne surveillée à tort risque de rendre public les méthodes employées par les services de renseignements. Des personnes malveillantes pourraient utiliser cette information pour se prémunir de la surveillance.”

Et hop, plus d’obligation d’information <img data-src=" />


Plutôt que d’ajouter au RGPD qui est déjà bien velu, ils pourraient clarifier en déterminant des seuils objectifs pour le DPO et la DPIA par exemple, en définissant la notion de public cible pour l’application du texte (notion connue par la Jurisprudence), bref rendre accessible et efficiente la réglementation…



Parce que là si on fait une lecture littérale du RGPD, toute personne qui a un smartphone perso avec un numéro pro dedans devrait :

. définir la finalité des traitements du téléphone,

. tenir un registre des traitements faits sur le téléphone,

. informer des droits des personnes les contacts (accès, rectification, droit à l’effacement, droit à la limitation etc…),

. éventuellement définir les tiers pouvant accéder au tél. (destinataire du traitement),

. dire qu’il va à la boutique appel pour faire un backup (=sous-traitant),

.&nbsp; informer l’ensemble de ses contacts en cas de perte ou de vol sauf chiffrement, et dans tous les cas alerter la CNIL… (etc…)



Bref, je suis pas certain qu’on ait bien calibré le texte là …