Le rapporteur de la loi Numérique s’oppose au détricotage du droit à la portabilité des données

Le rapporteur de la loi Numérique s’oppose au détricotage du droit à la portabilité des données

Capitaine Frassa

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

21/03/2018 5 minutes
16

Le rapporteur de la loi Numérique s’oppose au détricotage du droit à la portabilité des données

Pour des questions de lisibilité juridique, l’Assemblée nationale a souhaité supprimer le droit à la portabilité des données prévu par la loi Numérique de 2016. Le Sénat s’apprête toutefois à revenir sur ce détricotage, sous l’impulsion de l’ancien rapporteur du texte porté par Axelle Lemaire.

L’article 48 de la loi Lemaire doit-il être supprimé, au profit de l’article 20 du règlement européen pour la protection des données personnelles (RGPD) ? Le 7 février dernier, le député Éric Bothorel a plaidé pour cette solution, au motif que « l’articulation » entre ces dispositions soulevait « des difficultés, puisque les données qui doivent être transmises au consommateur [en vertu de la loi Numérique] recoupent celles qui doivent être communiquées à la personne concernée au titre du droit à la portabilité des données personnelles prévu par le RGPD ».

Après avis favorable du gouvernement et de la rapporteure, Paula Forteza, l’Assemblée nationale a ainsi décidé d’abroger l’article 48 de la loi Numérique – applicable à partir du 25 mai 2018, comme le RGPD.

Le sénateur Christophe-André Frassa, qui fut rapporteur de la loi Numérique, en 2016, n’a cependant guère apprécié cette initiative. Alors que le RGPD instaure un droit à la portabilité des données personnelles, le parlementaire prévient qu’un détricotage de la loi Lemaire reviendrait à supprimer dans le même temps « le droit à la récupération et à la portabilité instauré en faveur des consommateurs pour les données non personnelles ».

Loi Numérique vs RGPD

Si l’on se plonge dans le RGPD, on peut lire que chaque individu aura le droit de « recevoir » les « données à caractère personnel » le concernant, telles que « fournies » à un responsable de traitement automatisé (YouTube, Facebook, Instragram...). Et ce à condition que le traitement initial ait été fondé sur le consentement de l’utilisateur ou sur un contrat.

Au regard des lignes directrices du G29, le groupement des CNIL européennes, le droit à la portabilité prévu par le RGPD visera plus précisément :

  • Les données « activement et sciemment fournies par la personne concernée (par exemple, adresse postale, nom d’utilisateur, âge, etc.) ».
  • Les données « observées fournies par la personne concernée grâce à l’utilisation du service ou du dispositif ». Plusieurs exemples sont donnés : historique de recherche, données relatives au trafic et les données de localisation d’une personne, rythme cardiaque enregistré par un dispositif portable...

En revanche, les données « déduites » ou « dérivées », créées donc par le responsable du traitement, sortiront du champ d’application du RGPD. Ce sera notamment le cas pour « le résultat d’une appréciation relative à la santé d’un utilisateur ou un profil créé dans le contexte des règlementations relatives à la gestion des risques et de la réglementation financière ».

G29 portabilité

La loi Numérique impose de son côté aux fournisseurs de services de communication au public en ligne de proposer à chaque « consommateur » une « fonctionnalité gratuite » permettant la « récupération » :

  • De « tous les fichiers mis en ligne par le consommateur ».
  • De « toutes les données résultant de l'utilisation du compte d'utilisateur du consommateur et consultables en ligne par celui-ci », à l'exception de celles ayant fait l'objet d'un « enrichissement significatif par le fournisseur en cause ».
  • De certaines « données associées au compte utilisateur du consommateur » et qui « facilit[eraient] le changement de fournisseur de service ou permett[raient] d’accéder à d’autres services ». Un décret est toutefois censé compléter ces dispositions.

Même si les lignes directrices du G29 laissent entendre que le périmètre du RGPD est relativement large, force est de constater que la loi Numérique le complète sur plusieurs points – notamment s’agissant des fichiers mis en ligne, quels qu’ils soient : photos, films, musiques... Contrairement au RGPD, qui ne prévaut que pour les personnes physiques, la loi Numérique s'applique également au profit des personnes morales (entreprises, associations...).

La sénatrice Sophie Joissains, rapporteure du projet de loi adaptant le droit français au RGPD, a ainsi suivi Christophe-André Frassa et obtenu de la commission des lois du Sénat, mercredi 14 mars, un maintien des dispositions issues de la loi Numérique.

La loi Numérique deviendra « sans objet », soutient le gouvernement

À l’approche des débats en séance, qui reprendront cet après-midi, le gouvernement s’apprête toutefois à revenir à la charge. Au travers d’un amendement, l’exécutif soutient que l’article 48 de la loi Numérique doit être abrogé « pour des raisons de cohérence et de sécurité juridique, notamment pour les opérateurs économiques ». À ses yeux, ces dispositions sont carrément « devenues sans objet et sources de confusion ».

« Une telle suppression ne vise aucunement à priver les consommateurs d’un droit dès lors que celui-ci est désormais consacré au niveau européen », assure enfin le gouvernement.

En coulisses, certains craignent que la majorité ait cédé aux pressions des acteurs visés par ces dispositions – à commencer par les grandes plateformes guère désireuses que leurs utilisateurs puissent transférer facilement leurs données chez un concurrent. Mounir Mahjoubi, le secrétaire d’État au Numérique, avait d’ailleurs insisté à plusieurs reprises sur le fait que les implications de la loi Numérique, notamment pour les acteurs économiques, n’avaient « pas complètement été mesurées ».

« L'avantage de se limiter au RGPD est d'avoir un article uniformisé au niveau européen et potentiellement de se dire que les entreprises vont se plier plus facilement à cette obligation », nous glisse néanmoins une juriste spécialisée sur ce dossier.

16

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Loi Numérique vs RGPD

La loi Numérique deviendra « sans objet », soutient le gouvernement

Commentaires (16)




« L’avantage de se limiter au RGPD est d’avoir un article uniformisé au niveau européen et potentiellement de se dire que les entreprises vont se plier plus facilement à cette obligation », nous glisse néanmoins une juriste spécialisée sur ce dossier.



on parle bien de la loi, ici?

ouf, je croyais que c’était le règlement intérieur du bistrot du coin.


Je me demande si ces dispositions s’appliquent à tous les services en ligne et surtout combien de temps ?



Banque, assurances, PVs, ….



Parcequ’à l’heure actuelle, a part Weboob, ya trop rien de facile à ce niveau…


l’objectif peut être louable, mais est-ce que la France dispose réellement de la capacité de déroger sur ce point particulier à la législation européenne?



Il me semble que l’article 20 de la GDPR ne laisse aucune marge à la législation des Etats-Membres.



Il serait plus juste que ce soit la justice une fois saisie d’une affaire de portabilité qui saisisse la CJUE afin de lui demander de clarifier l’étendue du droit à la portabilité.


La loi européenne est un minimum, les États membres peuvent aller plus loin dans leur droit national.


A l’heure où même les ministres admettent que les lois qu’ils défendent sont inapplicables mais qu’elles sont destinée à donner un signal fort, il est communément admis qu’une loi, aussi belle et bonne soit-elle sur le papier n’est pas équivalente à ce qui est mis en oeuvre dans la pratique.



Si on ajoute à ça le fait que le cyberespace est décentralisé et sans frontières alors que la loi est par définition limitée territorialement, on peut facilement reconnaître que la “compliance” n’est au moins pas une tâche facile.








bloossom a écrit :



l’objectif peut être louable, mais est-ce que la France dispose réellement de la capacité de déroger sur ce point particulier à la législation européenne?



Il me semble que l’article 20 de la GDPR ne laisse aucune marge à la législation des Etats-Membres.



Il serait plus juste que ce soit la justice une fois saisie d’une affaire de portabilité qui saisisse la CJUE afin de lui demander de clarifier l’étendue du droit à la portabilité.





Lors des débats sur la loi Numérique, la majorité a toujours soutenu que le dispositif était bien distinct, car relevant du droit de la consommation, non de celui relatif aux données personnelles.



source? D’après le TFUE, le règlement est obligatoire et d’application directe, ce qui ne laisse en principe pas les Etats Membres libres de modifier ses effets.


Merci pour la précision très pertinente. ça donne un angle d’attaque aux partisans du maintient de cette disposition.


ce n’est pas le cas ici. la loi est applicable, il manque juste le décret d’application.

quant à la problématique de la territorialité, elle n’est pas opposable au respect de la loi.

Après libre à une entreprise de ne pas respecter la loi. Libre à l’Etat de la faire respecter ou non.


Effectivement, j’ai confondu les réglements avec les directives, qui elles doivent être transposées.



Voici un récapitulatif des différents actes législatifs :https://europa.eu/european-union/eu-law/legal-acts_fr


Tu as parfaitement raison. la loi en tant qu’acte est applicable, par contre sa “traduction” par des faits dans les entreprises (quel format, quel moyen de communication, quel niveau d’échange entre les différentes entreprises, comment limiter le partage de secrets d’affaire etc.) est déjà beaucoup plus nébuleuse.



La volonté de l’Etat n’est qu’un élément d’une équation assez compliquée lorsqu’il s’agit de savoir si une loi est effectivement bien appliquée.

 

Pour la territorialité, va demander à un site russe un californien qui n’a de lien avec la France que le fait qu’il soit accessible sur internet de respecter la volonté de l’Etat français… Dans certains cas ils le feront, dans d’autres non, et bien souvent ça dépendra de ce que l’Etat peut saisir sur son territoire ou de la pression de la clientèle, pas de la volonté de l’Etat.



En théorie tout est sensé fonctionner correctement, mais la pratique peut souvent être très éloignée de ce qui était prévu. Les entreprises n’ont pas d’envie particulière de ne pas respecter le droit juste pour ne pas respecter la loi, mais la “compliance peut vite devenir très compliquée à mettre en oeuvre, ce qui gêne considérablement le respect dans la pratique des principes légaux.


On comprend pourquoi Mahjoubi n’a jamais voulu publier les décrêts <img data-src=" />



Lemaire me manque… Et le fait que Mahjoubi ne rate pas une occasion de lui en mette plein la gueule montre bien qu’elle connaissait mieux ses sujets et n’était pas guidée par la volonté des seuls “acteurs économiques” <img data-src=" /> Vive la Startuffe Nation !








bloossom a écrit :



Pour la territorialité, va demander à un site russe un californien qui n’a de lien avec la France que le fait qu’il soit accessible sur internet de respecter la volonté de l’Etat français… Dans certains cas ils le feront, dans d’autres non, et bien souvent ça dépendra de ce que l’Etat peut saisir sur son territoire ou de la pression de la clientèle, pas de la volonté de l’Etat.



En théorie tout est sensé fonctionner correctement, mais la pratique peut souvent être très éloignée de ce qui était prévu. Les entreprises n’ont pas d’envie particulière de ne pas respecter le droit juste pour ne pas respecter la loi, mais la “compliance peut vite devenir très compliquée à mettre en oeuvre, ce qui gêne considérablement le respect dans la pratique des principes légaux.





c’est assez simple: plus un service aura de clients français, plus l’Etat Français aura de pouvoir de pression sur ce service. et à l’inverse moins un service aura de clients Français, moins l’Etat Français aura d’intérêt à agir pour défendre 3 tondus et 2 pelés.



Donc à priori oui, un service étranger n’a pas d’intérêt à se mettre en conformité, mais en pratique, c’est pas si sûr.

on est d’accord sur le fond, et aussi sur le fait que la théorie et la pratique ne collent pas forcément, mais ça va dans les deux sens. <img data-src=" />



Mais dans ce cas, sauf erreur de ma part, il n’est pas question de modifier les effets du règlement, simplement d’ajouter d’autres règles à côté (en partie redondantes, mais plus étendues, donc pas incompatibles).

Que ça pose un problème de clarté du droit, possible, mais il n’y a pas de raison que ce soit interdit, non?


En effet, mais ça risque de poser passablement de problème si les règles supplémentaires ont pour but d’éluder le réglement, l’UE ne sera pas contente. S’il s’agissait d’une directive, je ne verrais pas vraiment le problème puisque ça correspondrait au but général du législateur, mais là on a un règlement qui ne permet en principe pas aux Etats-membres de tout interpréter.



l’UE ne veut pas une harmonisation avec tous les Etats-Membres qui font leur propre réglementation en poursuivant un objectif commun mais bel et bien une unification de la protection des données personnelles.



Après ça dépendra de la CJUE mais j’ai le sentiment que le législateur devra être capable de bien démontrer que cette extension du droit à la portabilité des données n’est pas fondé sur la protection des données personnelles mais sur la protection du consommateur pour justifier cette position.


En réalité, c’est pas tant les clients (a moins que l’Etat fasse pression sur eux mais c’est vraiment limite et les effets indirects ne sont pas garantis) mais les “assets” atteignables par l’Etat. Facebook et Google sont gênés parce qu’ils ont des filiales saisissables en Europe, pas parce qu’ils ont beaucoup d’utilisateurs (ou une volonté de s’installer plus tard comme dans le cas yahoo). L’application de la loi ne dépend en général pas dans ce domaine de la capacité de l’Etat à la faire respecter (l’Etat a tendance à se donner une compétence propre gigantesque mais illusoire).



Historiquement, la “compliance” de ce genre d’acteurs vient bien plus de leur propre volonté et de pressions autres que celles qui résultent de la loi.



Après, tu as parfaitement raison, ils adoptent des règles des fois beaucoup plus strictes que celles que leur “imposent” les Etats par exemple au niveau censure de la nudité.