Accueil Confidentialité des données RGPD : la loi à l’Assemblée

RGPD : la loi à l’Assemblée

(AFP – Fabrice Randoux) – L’Assemblée examine à partir du mardi 6 février le projet de loi sur la protection des données personnelles, un texte d’application du droit européen (RGPD) qui fixe notamment la “majorité numérique” à 15 ans et sera globalement soutenu des Républicains aux communistes.

Le développement de l’ère numérique oblige à repenser le cadre applicable aux données personnelles“, explique la ministre de la Justice Nicole Belloubet, qui défendra le texte dans l’hémicycle. Cette révision de la loi informatique et libertés de 1978 est indispensable avant l’entrée en vigueur le 25 mai du “paquet européen de protection des données”, qui comprend le Règlement général sur la protection des données personnelles (RGPD) et une directive applicable aux fichiers pénaux. Ce nouveau règlement repose sur le droit fondamental que constitue, pour tout Européen, la protection de sa vie privée et de ses données personnelles et sera applicable à l’ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors Union Européenne. Ainsi, “l’Europe disposera d’un outil crédible et cohérent pour garantir à ses citoyens et à ses consommateurs la sécurité et la protection de leurs données personnelles“, selon Mounir Mahjoubi, secrétaire d’Etat au Numérique. Facebook, souvent critiqué pour l’usage fait des données de ses utilisateurs, a ainsi indiqué lundi avoir mis en place une importante équipe pour se préparer à cette loi.

Le texte remplace le système de contrôle a priori –avec des déclarations et des autorisations préalables– par un contrôle a posteriori. Les sociétés détentrices de données seront responsables des informations privées collectées, devront en envisager la protection et seront obligées de prévenir rapidement l’autorité compétente – en France, la Cnil – en cas de perte, de vol ou de divulgation, sous peine d’amendes qui pourront aller jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros. “Il s’agit d’alléger les formalités préalables au profit d’une démarche de responsabilisation des acteurs et d’un renforcement des droits des individus. En contrepartie, les pouvoirs de la Cnil sont renforcés et les sanctions encourues considérablement augmentées“, a résumé Mme Belloubet. Certaines formalités préalables seront maintenues pour les traitements des données les plus sensibles, comme “les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes“.

Réparation des préjudices 

Autre point sensible, l’âge à partir duquel un mineur peut s’inscrire sur des réseaux sociaux sans autorisation parentale. Le règlement européen fixe ette majorité numérique à 16 ans, mais autorise les États-membres à l’abaisser jusqu’à 13 ans. Alors que le gouvernement avait maintenu ce seuil, les députés l’ont abaissé en commission, de manière consensuelle, à 15 ans, “âge où le mineur entre généralement au lycée et où sa maturité lui permet en principe de maîtriser les usages sur internet”, selon la rapporteure Paula Forteza (LREM), ancienne d’Etalab, service de Matignon chargé de coordonner l’ouverture des données publiques. Les députés ont également introduit la possibilité d’une action de groupe pour la réparation de préjudices subis, d’ordre matériel ou moral.
Un amendement gouvernemental prévoit, lui, d’autoriser la réutilisation des données sensibles dans la mise en open data des décisions de justice, à condition que cette réutilisation ne permette pas “la ré-identification des personnes”.

S’agissant des traitements de données personnelles en matière pénale, le projet de loi crée un droit à l’information et prévoit l’exercice direct de certains droits, tels que les droits d’accès, de rectification et d’effacement des données. Sont concernés le fichier national des empreintes génétiques, des interdits de stade, ou encore le TAJ – traitement des antécédents judiciaires. Un amendement LFI a été adopté pour “assurer la proportionnalité de la durée de conservation”, compte tenu “de l’objet du fichier, et de la nature ou de la gravité des infractions concernées”.

Le droit européen ne s’appliquera cependant pas à une dizaine de fichiers de “souveraineté”, comme le fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), généralement gérés par les services de renseignement. Ceux-ci resteront soumis à un droit d’accès indirect, via le Conseil d’Etat, une procédure en vigueur depuis la loi sur le renseignement de 2015.