Protection des données personnelles : les députés français font des propositions pour aligner leurs lois sur celles de l’UE,
mais La Quadrature du Net qualifie certaines d'entre elles d’absurdes
L’énorme volume de données personnelles produites quotidiennement par les utilisateurs et exploitables à diverses fins a élevé la considération accordée à celles-ci par les acteurs de la société à un haut niveau. Les entreprises, les organisations, les entités étatiques et bien dautres acteurs bienveillants ou malveillants ne manquent de collecter ou de fouiner parmi les données des utilisateurs à l’effet de les utiliser dans leurs activités. Aussi, vu les dérives éventuelles qui peuvent survenir dans l’exploitation de ces données, chaque pays s’entoure, tant bien que mal de lois, afin de mettre des garde-fous autour de ces données personnelles générées par les utilisateurs.
Hier, l’Assemblée nationale française a continué l’examen du projet de loi sur les données personnelles après un premier examen effectué en commission de lois le 23 janvier dernier. Il faut rappeler que ces débats qui ont lieu dans le palais de l’Assemblée nationale française ont pour objectif d’une part d’aligner le droit français sur le règlement général pour la protection des données (RGPD) et d’autre part de traduire les principes généraux de la directive 2016/680 en lois nationales. Ces deux lois qui ont été votées au niveau européen visent à protéger les données à caractère personnel des résidents de l’Union européenne.
1. Quelques propositions saluées par de nombreuses personnes
Dans l’examen du projet de loi sur les données personnelles qui a eu lieu hier, plusieurs propositions ont été faites. L’on note par exemple que certains députés, en l’occurrence ceux du mouvement « En Marche » ont souhaité que l’exploitation des données personnelles par des tiers soit conditionnée par un consentement explicite accordé par l’utilisateur et ne doit être présumé ou présenté sous une forme prédéfinie sur l’acceptation comme c’est le cas avec les cases d’acceptation précochées dans un formulaire. En outre, la proposition d’amendements formulée a également signifié que « le consentement doit être recueilli par une action spécifique de la personne concernée sans que cette action n’ait aucune autre finalité ». Cela sous-entend qu’il est interdit à un tiers d’utiliser des artifices pour extorquer le consentement d’un utilisateur comme on le voit souvent avec un gros bouton « Je m’inscris » suivi d’une phrase à peine lisible indiquant « En m’inscrivant, j’accepte que mes données personnelles soient utilisées pour... des finalités qui n’ont rien à voir avec l’objet de l’inscription ». En somme, le groupe parlementaire désire que le consentement de la personne concernée soit obtenu de manière loyale et doit résulter d’une action volontaire, explicite, libre, spécifique et informée.
D’autres groupes politiques comme les communistes et les centristes ont également abondé dans le même sens en ajoutant que « Le consentement de la personne concernée doit être obtenu de manière loyale et résulter d’une action volontaire, explicite, libre, spécifique. Il ne doit pas être exigé en contrepartie d’un bien ou d’un service à moins que le traitement faisant l’objet du consentement ne soit indispensable à la fourniture de ce bien ou service ». « Pour être valide le consentement de la personne doit résulter d’une action informée, en toute connaissance de la finalité réservée à ses données, notamment dans le cas où les données seraient susceptibles d’être cédées, vendues ou encore transférées ».
Les députés des partis politiques des communistes et de la France insoumise ont fait une proposition pour supprimer l’article 14 qui vise à ouvrir plus largement la possibilité́ pour l’administration de recourir à des décisions automatisées (prises sur le fondement d’un algorithme). En effet, selon la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, « aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé. Aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé ». C’est donc pour préserver l’esprit et la lettre de cette loi que ce groupe parlementaire demande la suppression de l’article.
En sus, conformément au point 5 de l’article 36 du règlement (UE) 2016/679 du Parlement européen qui stipule que « Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique », les députés de la France insoumise ont proposé que les traitements automatisés relevant des missions d’intérêt public, notamment dans les domaines sociaux, éducatifs, économiques, environnementaux, sanitaires, médicosociaux, de l’énergie, des transports et culturels fassent l’objet d’une autorisation préalable par la CNIL. Enfin, pour renforcer la protection des données, le groupe des communistes a proposé qu’on ajoute dans l’article 34 de la loi n° 78‑17 du 6 janvier 1978 l’obligation de chiffrer les données, chaque fois que cela est possible, de sorte à n’être accessibles qu’au moyen d’une clé mise à la seule disposition des personnes autorisées à y accéder.
2. Quelques propositions jugées absurdes par la Quadrature du Net
En dehors de ces propositions, d’autres amendements ont été proposés, mais ne semblent pas faire l’unanimité d'autant plus que La Quadrature du Net, l’association qui défend nos droits et libertés fondamentales à l’ère du numérique, qualifie certaines d'entre elles d’absurdes. C’est notamment la proposition des députés Républicains qui vise à interdire la CNIL de communiquer publiquement le nom d’une entreprise qui fait l’objet d’une enquête menée par cette institution au motif que la publicité d’un contrôle ou d’une enquête pourrait ternir l’image et la notoriété et même avoir une incidence financière sur les activités de l’entreprise contrôlée bien qu’aucun délit n’ait été encore établi.
Une autre proposition que La Quadrature du Net trouve également farfelue, c’est le fait de donner des pouvoirs à la CNIL pour saisir le Conseil d’État afin d’ordonner la suspension ou la cessation d’un transfert de données personnelles en dehors de l'Union européenne. Mais selon les opposants à cette reforme, cette possibilité de saisine va au-delà des pouvoirs conférés aux autorités de contrôle par l’article 58-2 (j) du RGPD, ce qui pourrait avoir des conséquences catastrophiques pour les entreprises concernées par une telle interdiction, en particulier si la CJUE reconnait finalement la décision d’adéquation comme étant valide.
De plus, « il est important de rappeler que les transferts de données sont très fréquents, d’autant que la notion de transfert est définie très largement et ne couvre pas uniquement les cas où les données sont physiquement situées dans un serveur situé hors UE, mais également lorsque les données sont simplement accessibles ou téléchargeables sur un écran depuis un pays hors de l’UE. Dès lors, cette possibilité de saisine, si elle venait à être retenue, créerait un aléa judiciaire important qui risquerait de mettre en péril certaines activités qui nécessitent pourtant des transferts de données hors UE ». Pour toutes ces raisons, l’article proposé a été refusé.
En dernier lieu, certains députés du même bord politique que les actuels occupants de l’Élysée ont proposé que « Le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise ». Cela sous-entend que même si la loi sur la propriété intellectuelle ne dit rien sur les données personnelles, le propriétaire de données pourrait jouir de ses droits moraux sur les données qu’il génère. Il aura ainsi la possibilité de les léguer à ses héritiers, d’en autoriser l’usage par des tiers. En somme, il pourra les vendre à des tiers et en tirer des avantages pécuniaires comme le font déjà les géants du Net avec les données personnelles ou également les céder contre des biens ou des services.
Mais pour la Quadrature du Net, cette proposition est un « non-sens juridique » en parlant des données que l’on peut céder en échange de biens ou services alors que celles-ci sont des « droits inaliénables ». Encore une fois, cette proposition a été rejetée par l’ensemble des acteurs.
À l’issue des débats, la Quadrature du Net retient que les députés ont entièrement passé sous silence le débat sur le renseignement administratif et dénonce le manque de courage de ces représentants de la population française pour la défense des libertés individuelles.
Source : La Quadrature du Net, Le Monde (arguments sur la vente des données personnelles), Directive (UE) 2016/680, Loi RGPD
Et vous ?
Quel est votre avis personnel sur les différentes propositions de loi faites sur la protection des données personnelles ?
Selon vous, les députés français manquent-ils de courage en n’ayant pas touché à la loi sur le renseignement administratif ?
Que pensez-vous du jugement de la Quadrature du Net pour les différentes propositions d’amendements formulées ? Avis partagé ou erroné ?
Voir aussi
La Quadrature du Net appelle Mahjoubi et Villani à prendre publiquement position, sur le chiffrement de bout en bout
ePrivacy : l’UE serait sur le point d’autoriser l’analyse de vos activités sans consentement, LQDN présente des mesures qui menacent votre vie privée
Le vote sur l’ePrivacy, le règlement sur la protection de la vie privée des citoyens, sera retardé d’une semaine suite à un désaccord européen
Partager