Le rapporteur de la loi Numérique s’oppose au détricotage du droit à la portabilité des données

Capitaine Frassa 16
Accès libre
image dediée
Crédits : Assemblée nationale
Loi
Xavier Berne

Pour des questions de lisibilité juridique, l’Assemblée nationale a souhaité supprimer le droit à la portabilité des données prévu par la loi Numérique de 2016. Le Sénat s’apprête toutefois à revenir sur ce détricotage, sous l’impulsion de l’ancien rapporteur du texte porté par Axelle Lemaire.

L’article 48 de la loi Lemaire doit-il être supprimé, au profit de l’article 20 du règlement européen pour la protection des données personnelles (RGPD) ? Le 7 février dernier, le député Éric Bothorel a plaidé pour cette solution, au motif que « l’articulation » entre ces dispositions soulevait « des difficultés, puisque les données qui doivent être transmises au consommateur [en vertu de la loi Numérique] recoupent celles qui doivent être communiquées à la personne concernée au titre du droit à la portabilité des données personnelles prévu par le RGPD ».

Après avis favorable du gouvernement et de la rapporteure, Paula Forteza, l’Assemblée nationale a ainsi décidé d’abroger l’article 48 de la loi Numérique – applicable à partir du 25 mai 2018, comme le RGPD.

Le sénateur Christophe-André Frassa, qui fut rapporteur de la loi Numérique, en 2016, n’a cependant guère apprécié cette initiative. Alors que le RGPD instaure un droit à la portabilité des données personnelles, le parlementaire prévient qu’un détricotage de la loi Lemaire reviendrait à supprimer dans le même temps « le droit à la récupération et à la portabilité instauré en faveur des consommateurs pour les données non personnelles ».

Loi Numérique vs RGPD

Si l’on se plonge dans le RGPD, on peut lire que chaque individu aura le droit de « recevoir » les « données à caractère personnel » le concernant, telles que « fournies » à un responsable de traitement automatisé (YouTube, Facebook, Instragram...). Et ce à condition que le traitement initial ait été fondé sur le consentement de l’utilisateur ou sur un contrat.

Au regard des lignes directrices du G29, le groupement des CNIL européennes, le droit à la portabilité prévu par le RGPD visera plus précisément :

  • Les données « activement et sciemment fournies par la personne concernée (par exemple, adresse postale, nom d’utilisateur, âge, etc.) ».
  • Les données « observées fournies par la personne concernée grâce à l’utilisation du service ou du dispositif ». Plusieurs exemples sont donnés : historique de recherche, données relatives au trafic et les données de localisation d’une personne, rythme cardiaque enregistré par un dispositif portable...

En revanche, les données « déduites » ou « dérivées », créées donc par le responsable du traitement, sortiront du champ d’application du RGPD. Ce sera notamment le cas pour « le résultat d’une appréciation relative à la santé d’un utilisateur ou un profil créé dans le contexte des règlementations relatives à la gestion des risques et de la réglementation financière ».

G29 portabilité

La loi Numérique impose de son côté aux fournisseurs de services de communication au public en ligne de proposer à chaque « consommateur » une « fonctionnalité gratuite » permettant la « récupération » :

  • De « tous les fichiers mis en ligne par le consommateur ».
  • De « toutes les données résultant de l'utilisation du compte d'utilisateur du consommateur et consultables en ligne par celui-ci », à l'exception de celles ayant fait l'objet d'un « enrichissement significatif par le fournisseur en cause ».
  • De certaines « données associées au compte utilisateur du consommateur » et qui « facilit[eraient] le changement de fournisseur de service ou permett[raient] d’accéder à d’autres services ». Un décret est toutefois censé compléter ces dispositions.

Même si les lignes directrices du G29 laissent entendre que le périmètre du RGPD est relativement large, force est de constater que la loi Numérique le complète sur plusieurs points – notamment s’agissant des fichiers mis en ligne, quels qu’ils soient : photos, films, musiques... Contrairement au RGPD, qui ne prévaut que pour les personnes physiques, la loi Numérique s'applique également au profit des personnes morales (entreprises, associations...).

La sénatrice Sophie Joissains, rapporteure du projet de loi adaptant le droit français au RGPD, a ainsi suivi Christophe-André Frassa et obtenu de la commission des lois du Sénat, mercredi 14 mars, un maintien des dispositions issues de la loi Numérique.

La loi Numérique deviendra « sans objet », soutient le gouvernement

À l’approche des débats en séance, qui reprendront cet après-midi, le gouvernement s’apprête toutefois à revenir à la charge. Au travers d’un amendement, l’exécutif soutient que l’article 48 de la loi Numérique doit être abrogé « pour des raisons de cohérence et de sécurité juridique, notamment pour les opérateurs économiques ». À ses yeux, ces dispositions sont carrément « devenues sans objet et sources de confusion ».

« Une telle suppression ne vise aucunement à priver les consommateurs d’un droit dès lors que celui-ci est désormais consacré au niveau européen », assure enfin le gouvernement.

En coulisses, certains craignent que la majorité ait cédé aux pressions des acteurs visés par ces dispositions – à commencer par les grandes plateformes guère désireuses que leurs utilisateurs puissent transférer facilement leurs données chez un concurrent. Mounir Mahjoubi, le secrétaire d’État au Numérique, avait d’ailleurs insisté à plusieurs reprises sur le fait que les implications de la loi Numérique, notamment pour les acteurs économiques, n’avaient « pas complètement été mesurées ».

« L'avantage de se limiter au RGPD est d'avoir un article uniformisé au niveau européen et potentiellement de se dire que les entreprises vont se plier plus facilement à cette obligation », nous glisse néanmoins une juriste spécialisée sur ce dossier.


chargement
Chargement des commentaires...