L'Assemblée nationale a adopté en première lecture, ce mercredi 7 février , le projet de loi relatif à la protection des données personnelles.

Ce projet de loi adapte notamment la législation nationale au Règlement général de protection des données (RGPD), qui doit s'appliquer au 25 mai 2018, et transpose la directive (UE) 2016/680 relative aux traitements mise en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.

De portée mondiale, puisqu'il devra être appliqué par tout organisme traitant les données personnelles des résidents européens, le RGPD est un texte fondateur pour la garantie des libertés dans le monde numérisé du XXIe siècle. La restauration de la confiance des utilisateurs dans le domaine du numérique aura pour conséquence directe le développement des entreprises au sein du marché numérique.  Sans nier l'importance de l'équilibre à trouver pour assurer une mise en oeuvre pratique et efficace par les entreprises et la possibilité d'innovations, l'objectif premier de ce texte est bien le droit à la vie privée des personnes. 

Le RGPD confère en effet de nouveaux droits aux individus. Les droits déjà existants d'accès aux données et de droit à l'information sont renforcés et s'y ajoutent des droits à l'effacement (ou "droit à l'oubli") et le droit à la portabilité des données, susceptibles de garantir aux citoyens une maîtrise renouvelée de leurs données. Pour ce qui est des entreprises, le règlement permet d'inverser le paradigme traditionnel du régime d'autorisation. La confiance envers les responsables de traitement et leurs sous-traitants implique désormais que ce soit eux, accompagnés dans la mesure de leurs moyens par les autorités de contrôle nationales, qui vérifient la licéité de leurs traitements des données à caractère personnel. En échange de cette plus grande souplesse, le contrôle exercé désormais a posteriori prend de nouvelles formes.

Les autorités de contrôle nationales bénéficient ainsi de la possibilité d'infliger des amendes administratives plus lourdes, allant jusqu'à 4% du chiffre d'affaires mondial pour les violations les plus graves, mais elles peuvent aussi beaucoup plus facilement collaborer entre elles. Les modalités de coordination des autorités nationales dans leurs enquêtes et l'assistance qu'elles offrent auprès des acteurs du numérique permettent la bonne application des dispositions du règlement à tous les traitements de données, y compris les traitements transfrontaliers.

Désignée rapporteure sur ce projet de loi au nom de la commission des affaires européennes de l'Assemblée nationale, je suis intervenue dans l'hémicycle pour présenter mes observations et propositions.

J'y ai notamment défendu l’option de fixer à treize ans l'âge de la "majorité numérique" afin de prendre en compte la réalité de l’accès au numérique des adolescents. En effet, 75% des enfants de 11 à 14 ans ont un téléphone mobile, qui leur offre un accès quasi-illimité aux réseaux sociaux et forums. Les entreprises ne disposent d'ailleurs pas de moyens, dans l’état actuel des avancées technologiques, de vérifier que des mineurs de moins de seize ou de quinze ans n’usurpent pas le consentement au traitement de leurs données personnelles.

J'y ai aussi proposé d’adapter deux dispositifs de médiation, coordonnés avec la Commission nationale de l'informatique et des libertés (CNIL):

• Le premier concerne les relations entre particuliers et entreprises. Avec le développement des objets connectés, les médiateurs de la consommation seront saisis de litiges où peuvent apparaître des traitements de données personnelles. La CNIL doit donc sensibiliser les acteurs à ces nouveaux enjeux, afin que ceux-ci comprennent comment les résoudre ou les aiguiller.

• Le deuxième vise les relations entre entreprises, et notamment entre responsables de traitement et sous-traitants. L’obligation de partage de responsabilité et de sa contractualisation sera sans doute l’objet de nombreuses contestations. A ce titre, il serait naturel que le Médiateur des entreprises, qui traite déjà des contentieux contractuels, puisse mener à priori des actions de médiation également dans ce domaine de la protection des données.

Vous pouvez retrouver au lien suivant l'intégralité de mon rapport sur ce projet de loi: http://www2.assemblee-nationale.fr/documents/notice/15/europe/rap-info/i0577

Retrouvez également ci-dessous mon intervention en vidéo: