Projet de loi protection des données personnelles : trouver le juste équilibre entre innovation et protection
Le projet de loi relatif à la protection des données personnelles a été présenté en Commission des Lois mardi 23 et mercredi 24 janvier et a été discuté en séance publique les 6 et 7 février 2018. Ce projet de loi vise à introduire dans le droit français (Loi « Informatique et Libertés ») deux textes européens : le règlement général sur la protection des données (RGPD) et la Directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (n°2016/680).
Retrouvez le rapport de la Commission des Lois, sur lequel j’ai travaillé avec mes collègues, ici.
Regardez les débats en Commission des Lois, ici et ici, et les débats en séance publique ici et ici.
Pour comprendre le projet de loi protection des données personnelles en quelques minutes : ici.
À partir du 25 mai 2018, de nouveaux droits pour les personnes,
À partir du 28 mai, date d’entrée en vigueur du RGPD, de nouveaux droits seront reconnus aux personnes, qui bouleverseront les usages du numérique et obligeront les acteurs du secteur à effectuer des changements majeurs dans leurs offres de services :
- Le consentement obligatoire
- Le droit à la portabilité
- Le droit à l’oubli
- Un élargissement des données sensibles aux données biométriques, génétiques et relatives à l’orientation sexuelle
- De nouvelles protections pour les mineurs
…un changement de paradigme,
Le projet de loi acte le passage d’un contrôle des traitements de données à priori réalisé par la CNIL – ayant pour effet de créer des lourdeurs administratives au moment de la création d’une entreprise – à un contrôle à posteriori en responsabilisant les acteurs qui doivent, en interne, se doter d’outils de contrôle. La logique change : la CNIL n’est plus simplement l’organe régulateur, elle est aussi un organe de conseil et d’accompagnement des entreprises.
Ces textes tirent les conséquences du développement de l’économie de la donnée et des bouleversements technologiques survenus dans les dernières années (« cloud computing », internet des objets). Il s’agit de construire les cadres régulateurs de façon plus flexible, itérative et collaborative à travers des outils de droit souple (règlements-types, référentiels, codes de bonne conduite, packs de conformité) pour qu’ils soient adaptés aux enjeux du numérique et qu’ils deviennent de véritables « aides à la mise en conformité ».
… favorable à l’innovation,
Les nouvelles dispositions sont source d’innovation grâce à :
- Des démarches simplifiées pour les entrepreneurs
- Une nouvelle attractivité juridique et économique
- Le développement d’une concurrence loyale pour les entreprises européennes
- Un terrain de jeu “à niveau” pour les petites entreprises
et un modèle alternatif pour le numérique en France et en Europe.
…et un modèle alternatif pour le numérique en France et en Europe.
Le projet de loi vise, par ailleurs, l’harmonisation des règlementations européennes, nécessaire à la construction d’un marché unique. Ce projet signe ainsi la fin de 22 ans de législation éclatée. La France, premier pays européen à se doter du cadre juridique et institutionnel nécessaire pour la mise en œuvre de cette politique, reste encore aujourd’hui un “fer de lance” de la protection des données personnelles au niveau européen.
La France et l’Europe construisent une “troisième voie” du numérique à travers un modèle alternatif de croissance, plus éthique, accessible et décentralisé que le sont actuellement le modèle américain ou chinois. Il s’agit de redonner confiance aux citoyens en leur permettant de maîtriser leurs usages du numérique à travers la recherche d’un équilibre entre protection et innovation.
Le travail de l’Assemblée Nationale
Les débats en Commission des Lois ont permis de cranter quelques acquis :
- La possibilité d’agir à travers une action de groupe, jusqu’à maintenant cantonnée à la cessation de manquement, a été élargie à la réparation des préjudices subis, qu’ils soient d’ordre matériel ou moral
- L’âge de consentement des mineurs pour accéder aux réseaux sociaux sans autorisation préalable de l’autorité parentale a été fixé à 15 ans (proposition initiale du gouvernement : 16 ans)
- La CNIL devra apporter des informations individuelles aux petites et moyennes entreprises, et prendre en considération leurs particularités dans l’exercice de ses nouvelles missions.
En hémicycle plusieurs sujets ont aussi évolué :
- La capacité pour les entreprises d’accéder plus facilement à des données sensibles dans un cadre sécurisé, à des fins d’expérimentation.
- La transparence et la loyauté des algorithmes : Désormais, lorsqu’une entreprise a pris une décision algorithmique à l’égard d’un individu dans le cadre d’un consentement préalable ou d’un contrat, celui-ci pourra demander à savoir sur quels fondements et selon quels critères cette décision a été prise.
- La protection des données scolaires : une formation à la protection des données personnelles pour les enseignants a été entériné ainsi qu’un travail conjoint avec le Ministère de l’Éducation nationale pour aboutir à une transparence des traitements de données personnelles effectué dans le cadre scolaire.
Les débats sur le texte ont duré 9 heures, 172 amendements ont été déposés et 41 ont été adoptés. Le projet de loi a été adopté le mardi 13 février 2018 avec 505 voix pour.
Méthodes agiles et collaboratives pour moderniser la fabrique de la loi
Avec l’aide des membres du Bureau Ouvert, nous avons lancé une plateforme en ligne qui a pour but de faciliter la lecture du texte et qui permet aux visiteurs de contribuer à la discussion autour du projet de loi. Ce dossier législatif contributif permet :
- une navigation aisée dans un dossier législatif complexe ;
- une amélioration progressive de cette navigation grâce à des contributions des visiteurs ;
- une interaction ouverte entre citoyens, entreprises, experts et responsables politiques lors de l’examen d’un texte législatif ;
- regrouper l’ensemble des textes impactés par le projet de loi et nécessaires à sa bonne compréhension : étude d’impact, RGPD, directive européenne, avis du Conseil d’Etat, loi Informatique et libertés.
Paula Forteza et Marianne Billard