Intervention de Christine Hennion

Séance en hémicycle du mardi 6 février 2018 à 15h00
Protection des données personnelles — Présentation

Photo issue du site de l'Assemblée nationale ou de WikipediaChristine Hennion :

Monsieur le président, madame la garde des sceaux, monsieur le secrétaire d'État, madame la présidente de la commission des lois, mesdames les rapporteures, mes chers collègues, j'interviens aujourd'hui au nom de la commission des affaires européennes pour vous présenter ce projet de loi qui adapte notre législation au règlement général de protection des données, ainsi que la directive de 2016 relative aux données pénales. Le RGPD est un texte hybride, laissant plus d'une cinquantaine de marges de manoeuvre aux États membres. Toutefois, il renforce considérablement les droits des résidents européens qui, dès le 25 mai 2018, pourront se prévaloir de nouveaux droits, tels que la portabilité des données, le renforcement de leur information et le droit à l'effacement.

La responsabilité des traitements pèse désormais sur les entreprises, qu'elles soient responsables de traitement ou sous-traitantes. Elles devront estimer les risques et les impacts sur les données personnelles et vérifier la licéité de leur traitement. Les CNIL nationales auront un rôle de conseil et d'accompagnement auprès d'elles. En échange de cette plus grande souplesse, le contrôle est désormais exercé a posteriori par les autorités nationales, qui pourront infliger des amendes administratives allant jusqu'à 4 % du chiffre d'affaires mondial.

Ce projet de loi appelle un ensemble de remarques. En premier lieu, le Gouvernement a fait un choix parcimonieux dans l'usage des marges de manoeuvre, ce dont on peut lui savoir gré. L'harmonisation avec nos partenaires européens ne peut que favoriser la mise en place d'un marché unique du numérique efficient. Il est toutefois des matières où l'on peut faire différemment. Je commencerai par la question de l'âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles. La commission saisie au fond a opté pour l'âge de quinze ans. L'ensemble des États membres de l'Union européenne a fait des choix divers, utilisant toute la gamme – qui s'étend entre treize et seize ans – ouverte par le règlement.

Je défends, pour ma part, l'option d'abaisser cet âge à treize ans. Cela permettrait de prendre en compte la réalité de l'accès au numérique des adolescents, étant donné que 75 % des enfants de onze à quatorze ans ont un téléphone mobile qui leur offre un accès quasiment illimité aux réseaux sociaux et aux forums. De plus, les entreprises ne disposent pas, dans l'état actuel des avancées technologiques, de moyens pour vérifier que les mineurs de moins de quinze ans n'usurpent pas le consentement au traitement de leurs données personnelles.

Je suis heureuse que le texte de la commission prévoie l'obligation, pour le responsable de traitement, d'expliquer, dans des termes facilement compréhensibles par les mineurs concernés, les finalités du traitement. Mais cela suffira-t-il ? L'enjeu n'est-il pas plutôt d'éduquer les plus jeunes aux usages et aux risques du numérique ? Mettre cet âge à treize ans nous poussera à prendre les bonnes mesures. C'est sur cette éducation au numérique qu'il faut concentrer nos efforts.

Ensuite, je souhaite que ce texte puisse bénéficier de conditions d'application aussi efficaces que possibles. Les professionnels s'adaptent au nouveau paradigme que ce texte entend mettre en place, mais il existe un fort risque contentieux qui fait peur à certains d'entre eux. C'est pourquoi je propose d'adapter deux dispositifs de médiation, en coordination avec la CNIL. Le premier concerne les relations entre particuliers et entreprises. Avec le développement des objets connectés, les médiateurs de la consommation seront saisis de litiges où peuvent apparaître des traitements de données personnelles. La CNIL doit donc aiguiller les acteurs, les sensibiliser à ces nouveaux enjeux et aux manières de résoudre les problèmes. Le deuxième dispositif vise les relations entre entreprises, et notamment entre responsables de traitement et sous-traitants. L'obligation de partage des responsabilités et de sa contractualisation fera sans doute l'objet de nombreuses contestations. Il serait donc naturel que le médiateur des entreprises, qui traite déjà des contentieux contractuels, puisse également mener a priori des actions de médiation dans ce domaine de la protection des données personnelles. Dans les deux cas, il s'agit d'aider la CNIL à régler des conflits à l'amiable, en amont des plaintes. L'autorité applique déjà les règles de droit souples et n'utilise qu'en dernier recours ses capacités de sanction, que le règlement augmente considérablement. Elle doit continuer en ce sens.

Je voudrais enfin que la CNIL puisse tenir compte, dans son application des dispositions de la loi et du RGPD, du caractère expérimental de certains traitements. Les start-up ou les petites et moyennes entreprises innovantes peuvent connaître des difficultés à s'assurer de l'exhaustivité de leurs analyses d'impact. La CNIL devrait donc pouvoir moduler son appréciation en tenant compte de la forte incertitude qui tient aux premiers temps de l'activité. Voici l'ensemble des propositions de modification que je ferai sur ce texte, dont je souhaite rappeler qu'il fait entrer la France dans un cadre juridique européen de protection des données personnelles aujourd'hui sans équivalent, qui doit devenir un standard mondial.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion