Le projet de loi Protection des données personnelles adopté en première lecture à l'Assemblée nationale
L’Assemblée nationale a adopté en première lecture, le 13 février, le projet de loi sur la protection des données personnelles. Largement consensuel (505 voix pour, 18 contre, 24 abstentions), ce texte transpose dans le droit français la législation européenne en matière de protection des données à caractère personnel, formalisée dans le règlement général sur la protection des données personnelles (RGPD).
Le Parlement européen a adopté en avril 2016 le RGPD, dont les disposition s’imposeront dans chacun des 28 Etats membres à compter du 25 mai 2018. Cette loi vise avant tout à clarifier les règles de transparence sur la réutilisation des données personnelles (nom, âge, genre, etc.) par les entreprises et administrations. Les citoyens se voient attribuer un droit à l’oubli - ils peuvent demander l’effacement des données les concernant à tout opérateur économique ou administratif - ainsi qu’un droit de portabilité des données - ils peuvent récupérer sur demande les données les concernant.
La majorité numérique à 15 ans
Alors que l’âge minimum d’adhésion aux réseaux sociaux est encore fixé par les plateformes elles-mêmes, les députés ont fixé à 15 ans l'âge à partir duquel un mineur peut s'inscrire sur des réseaux sociaux sans autorisation parentale. Le consentement des parents est indispensable entre 13 et 15 ans, la collecte de données interdite au-dessous de 13 ans. Une disposition problématique compte tenu du nombre de jeunes déjà inscrit sur les réseaux sociaux, parmi lesquels un bon nombre n’hésite pas à surévaluer son âge.
Des poursuites collectives contre l’utilisation abusive des données personnelles
"Il appartiendra aux entreprises de démontrer qu'elles ont pris toutes les précautions de protection des données personnelles avec des sanctions importantes en contrepartie", a précisé le député LR Philippe Gosselin. En cas de manquement à cette obligation, une action de groupe peut être engagée, donnant lieu à des sanctions financières. Les entreprises victimes d’une violation ou d’une perte de données personnelles seront tenues de prévenir la Cnil dans les 72 heures, sous peine d’amendes pouvant atteindre 4% du chiffre d’affaires mondial ou 20 millions d’euros.
Le contrôle des données par les entreprises désormais effectué a posteriori
Le système de contrôle des données personnelles collectées par les entreprises est réformé : jusqu’alors effectué a priori (par des déclarations préalables), ce contrôle sera désormais effectué a posteriori, avec une exception pour les données "sensibles" comme les données biométriques.
Une adoption définitive pour avril 2018
Dans un avis sur le projet de loi, la Cnil "salue cette nouvelle étape" qui vient confirmer son rôle central dans la régulation des données, tout en regrettant l’abandon de mesures concernant la sécurisation des traitements algorithmiques soutenant les décisions administratives.
Le texte doit encore remporter l’approbation du Sénat, qui l’examinera dès le 20 mars. Pour tenir les délais exigés par le Parlement européen, le gouvernement mobilise la procédure "accélérée" : seule une lecture par chambre est prévue, pour une adoption définitive attendue courant avril.