Le Sénat termine l’examen du projet de loi RGPD : on fait le point

Données sous X 1
Accès libre
image dediée
Crédits : Romain Vincens (CC BY-SA 3.0)
Loi
Xavier Berne

Le Sénat a achevé hier, à quasiment une heure du matin, l’examen du projet de loi adaptant le droit français au Règlement européen sur la protection des données personnelles (RGPD). Next INpact vous propose pour l’occasion une synthèse des principales modifications apportées par les élus de la Haute assemblée.

Après trois journées de débats, en commission puis en séance publique, les sénateurs ont largement marqué leurs différences par rapport à l’Assemblée nationale : tant sur la saisine parlementaire de la CNIL que sur l’élargissement de l’action de groupe en matière de données personnelles, en passant par l’âge légal du consentement des mineurs.

Les élus du Palais du Luxembourg ont surtout introduit de nombreuses dispositions, ciblant tantôt Google, tantôt l'ouverture des décisions de justice, en passant par la protection des données des élèves ou les objets connectés. Une dotation de 170 millions d'euros par an, au profit des collectivités territoriales, a également été votée.

La copie rendue par les sénateurs diffère ainsi en de nombreux points de celle des députés, ce qui laisse présager des discussions musclées sur certains points en commission mixte paritaire.

Rabotage pour la saisine parlementaire de la CNIL

Afin de permettre aux parlementaires d’obtenir l’avis de la CNIL sur toute proposition de loi « relative à la protection des données à caractère personnel ou au traitement de telles données », les députés ont souhaité que cette faculté soit offerte :

  • Aux présidents des assemblées
  • Aux présidents des commissions compétentes de l’Assemblée et du Sénat
  • Aux présidents des groupes parlementaires

Cependant, aux yeux de la rapporteure du Sénat, Sophie Joissains, « une saisine directe de la CNIL par d'autres personnalités que les présidents des assemblées romprait trop avec les mécanismes classiques qui régissent les relations institutionnelles entre le Parlement et les autorités administratives indépendantes ».

L’élue centriste a d’autre part souligné durant les débats que la gardienne des données personnelles s’était « montrée inquiète » quant à la surcharge de travail qui pourrait résulter de cette réforme.

À l’initiative de Sophie Joissains, la Haute assemblée est ainsi revenue au dispositif initialement proposé par le gouvernement – à savoir que la saisine parlementaire de la CNIL soit réservée aux présidents de l’Assemblée et du Sénat. Les députés avaient pourtant souhaité aller plus loin afin d’ouvrir ce droit aux parlementaires de l’opposition.

L’élue a néanmoins insisté sur le fait la Commission nationale de l’informatique et des libertés pouvait malgré tout déjà répondre aux sollicitations du Parlement (au travers d’auditions notamment), « sans qu'il soit besoin pour cela d'en formaliser la procédure ».

Le Sénat a d’autre part ajouté dans le projet de loi que la saisine parlementaire de la CNIL serait possible également sur « toute disposition » d'une proposition de loi relative à la protection ou au traitement des données à caractère personnel. Cela permettra de solliciter l’autorité administrative y compris sur des textes ne contenant qu’une seule mesure en lien avec les données personnelles.

Labellisation pour les objets connectés, charte de déontologie des DPO « publics », etc.

À l’initiative de la sénatrice Catherine Morin-Desailly, la Haute assemblée a ouvert la voie à un dispositif de labellisation des objets connectés. Dans des « conditions définies par décret pris après avis de l’autorité nationale en matière de sécurité et de défense des systèmes d’information », l’ANSSI, la CNIL pourrait certifier les appareils conformes au RGPD. L’autorité administrative s’assurerait surtout à cette occasion « qu’ils garantissent la possibilité de désactiver la collecte des données de l’utilisateur et qu’ils répondent à des exigences élevées en matière de sécurité ».

Le Sénat a ensuite confié à la Commission nationale de l’informatique et des libertés le soin d’établir une « charte de déontologie » des délégués à la protection des données (ou « DPO », de son acronyme anglophone) désignés par les acteurs publics. Ce document énoncera « les principes déontologiques et les bonnes pratiques propres à l’exercice des fonctions de délégué à la protection des données dans les administrations ».

La ministre de la Justice s’est opposée – en vain – à l’adoption de cet amendement, au motif que ces dispositions relevaient à ses yeux « plus d'une circulaire que de la loi ».

Les sénateurs sont également passé outre l’avis défavorable du gouvernement s’agissant du chiffrement des données collectées par les responsables de traitement. Celles-ci devront être chiffrées de bout en bout « chaque fois que cela est possible » (voir notre article).

Autre ajout : en cas de recours à un sous-traitant, le responsable du traitement devra mettre à la disposition de la personne concernée l’identité et les coordonnées de ce prestataire, « ainsi que les stipulations du contrat de sous‑traitance relatives à la protection des données personnelles ».

Afin de favoriser la transparence sur les travaux de la CNIL, les députés avaient souhaité que l’institution rende public l’ordre du jour de ses réunions (en formation plénière uniquement). Cette mesure a cependant été retoquée par le Sénat. « Certes louable, cette exigence de transparence est manifestement de nature réglementaire », a objecté Sophie Joissains. Pour la rapporteure, cette réforme relève davantage d’un décret, voire du règlement intérieur de l'autorité administrative indépendante.

L’élargissement de l’action de groupe reporté à 2020

Tout comme les députés, les sénateurs ont soutenu l’extension des actions de groupe en matière de données personnelles. Pour l’heure limitée à la cessation d’un manquement à la loi Informatique et Libertés, cette procédure devrait donc permettre aux victimes d’obtenir la réparation de leur préjudice, matériel comme moral.

La Haute assemblée a toutefois durci les conditions de mise en œuvre de ce dispositif, par crainte d’une explosion de leur nombre :

  • L’action de groupe ne pourra servir à la réparation des seuls dommages dont le « fait générateur » serait postérieur au 25 mai 2020. Autrement dit, l’élargissement du dispositif ne sera effective que dans deux ans.
  • Les associations ayant pour objet « statutaire la protection de la vie privée et la protection des données à caractère personnel », qui doivent déjà exister depuis au moins cinq ans pouvoir représenter des victimes, devront en outre obtenir un agrément auprès de l’administration. La délivrance de ce sésame sera « notamment » subordonné « à l'activité effective et publique » de l'association, « à la transparence de sa gestion, à sa représentativité et à son indépendance ».
  • Le demandeur devra informer la CNIL lors de l’introduction de son recours, afin que l’institution puisse présenter ses observations devant la juridiction saisie.

L’âge légal du consentement des mineurs réhaussé à 16 ans

Si le RGPD fixe à 16 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données, par exemple lors de son inscription à Facebook, chaque État membre est libre d’abaisser ce seuil jusqu’à 13 ans.

Contrairement aux députés, qui ont choisi de fixer cette « majorité numérique » à 15 ans, les sénateurs sont revenus à 16 ans (comme l’avait initialement proposé le gouvernement).

Alors que certains parlementaires plaident pour un seuil bas au nom du pragmatisme, la rapporteure a fait valoir auprès de ses collègues que la loi avait vocation à « fixer des termes symboliques, des âges charnières, nécessairement imparfaits, mais qui contribuent à guider la société en lui donnant des points de repères et dont les familles et les institutions éducatives peuvent utilement se saisir dans leur œuvre pédagogique ».

Toujours au sujet des mineurs, le Sénat a introduit des dispositions en vertu desquelles les établissements d’enseignement scolaire devront mettre à la disposition du public « la liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité ». Jean-Pierre Decool, qui défendait cet amendement, a soutenu qu’il permettrait une « meilleure protection des élèves ». La Garde des Sceaux s’y est opposée, en vain, au motif que les écoles n’auraient pas forcément les moyens de se plier à cette obligation.

La Haute assemblée a au passage maintenu la sensibilisation obligatoire des élèves aux « règles applicables aux traitements des données à caractère personnel » (dans le cadre de leur « formation à l'utilisation des outils et des ressources numériques », prévue par le Code de l'éducation).

Transparence des algorithmes publics : coup de pression sur les administrations

Afin d’inciter les administrations à respecter la loi Numérique, les sénateurs ont prévu la nullité automatique de toutes les décisions individuelles ne comportant pas de « mention explicite » relative à la transparence des algorithmes publics. Une obligation qui concerne par exemple les avis d’impôts, les attributions d’aides sociales, etc.

Les acteurs publics concernés devront d’autre part publier les « règles » et « principales caractéristiques » de mise en œuvre de leurs traitements algorithmiques, « ainsi que les modifications ultérieures relatives à ces règles ou caractéristiques ».

Le gouvernement était opposé à ces réformes, qu’il juge disproportionnées (voir notre article). Les arguments de l’exécutif n’ont toutefois pas convaincu les sénateurs, y compris sur Parcoursup. La brèche concernant le successeur d’APB a ainsi été refermée par la Haute assemblée.

Dans le même temps, le Sénat a renouvelé son coup de semonce à l’encontre de la mise en Open Data des décisions de justice. Les parlementaires ont « recyclé » une partie de la proposition de loi de Philippe Bas (en attente d’inscription à l’ordre du jour à l’Assemblée depuis octobre), en imposant que les modalités d’ouverture de ces documents « préviennent tout risque de réidentification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des magistrats et à l’impartialité des juridictions ». Autant dire mission impossible...

Un compromis trouvé avec le gouvernement sur l’amendement « anti-Google »

Après moults tentatives, les dispositions visant à faire en sorte qu’aucun moteur de recherche ne soit pré-installé sur un ordinateur, un smartphone ou une tablette se précisent. Le gouvernement avait préparé un amendement prévoyant que chaque responsable de traitement soit « en mesure de démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final ».

« Nous n'excluons pas l'hypothèse de nouveaux débats ou de nouveaux textes prochainement », a néanmoins précisé Mounir Mahjoubi, le secrétaire d’État au Numérique, dans l’hémicycle.

Les élus du Palais du Luxembourg ont adopté les dispositions proposées par l’exécutif. Ils sont également allés un peu plus loin sur ce dossier, en interdisant expressément les abus de position dominante « ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service ».

« La vente liée de matériels informatiques et d’applications ou services préinstallés constitue un réel frein pour le libre choix par les consommateurs de leurs outils numériques », regrettaient les centristes, à l’origine de cet amendement. Celui-ci a reçu un avis défavorable du gouvernement, au motif qu’il s’agirait d’un cavalier législatif (dès lors susceptible de censure de la part du Conseil constitutionnel).

170 millions accordés aux collectivités territoriales

Afin d’aider les collectivités territoriales à se mettre en conformité avec le RGPD, le Sénat a voté une aide financière au profit notamment des communes. À partir de 2019, pour les villages de moins de 1 000 habitants, l’État devrait verser 5 euros par habitant. Et ainsi de suite, jusqu’à 1 centime par habitant pour les villes de plus de 100 000 habitants.

 dotation rgpd

« La création d'un concours financier de 170 millions d'euros conduirait mécaniquement à devoir baisser d'autant les autres concours financiers de l'État aux collectivités », a toutefois prévenu la Garde des Sceaux, qui estime au passage que le RGPD devrait alléger certaines formalités pour les administrations.

Et ce d'autant plus que la rapporteure a fait adopter, en commission, un amendement qui empêchera la CNIL de prononcer des amendes administratives ou des astreintes à l'encontre des collectivités territoriales et leurs groupements (au même titre que l'État).

Le droit à la portabilité des données de la loi Numérique maintenu

Dernier beau point d’achoppement entre Assemblée et Sénat : les élus du Palais du Luxembourg ont réintroduit le droit de récupération des données prévu par la loi Numérique (voir notre article). Et pour cause : celui prévu par le RGPD est limité aux données personnelles, alors que le texte porté par Axelle Lemaire vise (entre autres) tous les fichiers mis en ligne par le consommateur – photos, musiques, etc.

Restera maintenant à voir quels compromis pourront être trouvés entre députés et sénateurs. Les parlementaires se réuniront prochainement en commission mixte paritaire, afin d’arriver à un accord. Faute de quoi, la navette reprendra.

Il est au passage à noter que les sénateurs ont imposé que l’ordonnance censée conduire à la réécriture de la loi Informatique et Libertés soit prise sous quatre mois, et non plus six. Ce qui devrait dans tous les cas laisser au gouvernement la possibilité d'aller au-delà de la date d’application du RGPD, fixée au 25 mai prochain.


chargement
Chargement des commentaires...