Marietta KARAMANLI « Projet de loi sur les données personnelles : ma demande d’une vigilance accrue concernant les données sensibles enregistrées dans des fichiers de tiers et celles « laissées » sur le net »

Le 18 janvier 2018 je suis intervenue au sein de la commission des affaires européennes pour exprimer mes observations sur le projet de loi ( déposé par le Gouvernement) visant à transposer en droit Français des dispositions de droit européen ( directive ) en matière de protection des données personnelles qu’enregistrent, conservent et exploitent les personnes physiques et morales, particuliers, sociétés et organisations publiques et privées en construisant des fichiers, des traitements informatiques automatisées ou encore en exploitant des plates formes sur le net. J’avais présenté plusieurs rapports lors des deux précédentes législatures sur le sujet (voir en sens par exemple le rapport, en février 2017,  sur le marché unique numérique et les initiatives pour l’encadrement des plateformes http://www.assemblee-nationale.fr/14/europe/rap-info/i4527.asp ou encore, en décembre 2015, portant observations sur le projet de loi pour une République numérique ( http://www.assemblee-nationale.fr/14/europe/rap-info/i3366.asp)).

Mes principales observations ont porté sur le changement important au terme duquel les autorisations préalables concernant les traitements automatisés, seront remplacées par une auto-évaluation des personnes qui conservent et gèrent les données. Cela comporte un risque pour nos données personnelles. Trois types de données continuent de faire l’objet de formalités préalables, ce sont les données en matière de sécurité sociale, de données biométriques et génétiques, enfin de données de santé. Par ailleurs l’article 7 traite des dispositions relatives à certaines catégories de données et reprend le principe d’interdiction de traitement de données dites « sensibles » dans ces certains secteurs que le Gouvernement définira par décret.  J’ai souhaité savoir

– quels étaient les impacts identifiés par la rapporteure sur ce changement (déclaration préalable à auto-contrôle) en partant de comparaisons européennes,

– pourquoi le secteur de l’éducation n’était pas considéré comme sensible,

– pourquoi le gouvernement n’avait pas retenu l’âge de 13 ans pour l’accès à une offre de service sur le net et préférer celui de 16 ans. Dans ce cas, il est fort probable que les enfants de moins de 13 ans y accèdent sans autorisation, dans ce cas mieux vaudrait que les normes contraignent fortement. J’ai suggéré de faire une distinction entre ce qui relève des activités ouvertes à des adultes et celles réservées à des jeunes, par exemple des jeux, ou des contenus culturels et de la autoriser dès cet âge.

J’ai enfin regretté que la technique législative retenue consiste à laisser s’appliquer le règlement européen ( d’ores et déjà directement applicable dans le droit Français) sans réaffirmer certains droits que je défends depuis longtemps, comme le droit à l’oubli ou le droit à la portabilité des données qui devront être mis en œuvre par les responsables de traitement.

De plus les moyens donnés à La Commission Nationale Informatique et Libertés devront ils être suffisants pour être protecteurs.

Marietta KARAMANLI

Le texte de mon intervention en Commission des affaires européennes, jeudi 18 janvier 2018, 9 h 30, Compte rendu n° 24

Mme Marietta Karamanli.

Madame la Présidente, je partage votre remarque sur ce point du choix du règlement par rapport à la directive.

Madame la rapporteure, je vous remercie des éléments que vous avez présentés.

J’aurais souhaité faire quelques remarques. Tout d’abord, le projet est examiné en procédure accélérée, à l’instar de nombreux textes, et ce qui devrait être l’exception devient aujourd’hui la norme. Il est frustrant de travailler dans un calendrier si restreint, qui ne donne pas la possibilité de discuter en prenant le temps nécessaire. D’autre part, comme l’a noté le Conseil d’État, l’étude d’impact n’éclaire, en dépit de son volume, qu’assez peu les choix faits par le Gouvernement.

Je m’interroge sur le principe d’une autorisation préalable concernant les traitements automatisés, qui est remplacé par une auto-évaluation dont vous avez parlé dans votre rapport, avec les risques que cela induit de gérer des traitements de données avec un contrôle a posteriori. La CNIL voit son rôle évoluer, puisque le régime d’autorisation préalable n’est conservé que pour trois types de données : celles de la sécurité sociale, les données biométriques et génétiques, ainsi que les données de santé. Je souhaiterais savoir si vous avez pu avoir accès à des éléments de législation comparée au niveau européen sur ce sujet-là. Et plus précisément, quels sont les autres États européens qui passent ainsi d’un tel système d’autorisation préalable à celui d’une auto-évaluation ? Quels éléments ont été mis en évidence par les études d’impact menées dans les autres États membres ? Quels sont les bénéfices et les inconvénients de ce nouveau régime pour la protection des secteurs d’intérêt public sensibles ? Par ailleurs, le projet de loi ne traite pas de façon particulière des données en matière d’éducation et de scolarité. Je voulais avoir votre point de vue sur cette question.

Enfin, ce projet de loi fait l’impasse sur les travaux précédents menés par la commission des lois et par celle des affaires européennes, à savoir le droit à l’oubli et le droit à la portabilité des données qui devront être mis en œuvre par les responsables de traitement, conformément aux dispositions du règlement. Seul l’article 15 encadre la limitation des droits en posant comme condition que cette limitation respecte l’essence des libertés et des droits fondamentaux mais cette expression est particulièrement vague. Enfin, la manière, dont l’âge à partir duquel un mineur peut consentir à une offre directe de service sur les réseaux sociaux a été déterminée, n’est pas satisfaisante. L’âge fixé est 16 ans, mais pensez-vous que cette obligation sera respectée dans les faits ? Peut-être aurait-on pu suggérer dans le rapport de faire une distinction entre ce qui relève des activités ouvertes à des adultes et celles réservées à des jeunes, par exemple des jeux, ou des contenus culturels ? Je vous remercie en tous cas d’avoir travaillé sur ce sujet très complexe, mais qui touche, comme vous l’avez dit, Madame la Présidente, de plus en plus notre vie quotidienne. Il faut que nous restions très vigilants lors des discussions sur ce sujet au sein de l’hémicycle.

Mme Christine Hennion, rapporteure.

Je vais d’abord aborder le point règlement versus directive. Effectivement, il aurait été possible de faire le choix d’une « directive », puisqu’il faut effectivement adapter la législation nationale pour chaque État membre. L’intention de départ était de recourir à un règlement pour avoir une harmonisation la plus large possible au niveau européen, d’en faire un standard et de tenir compte de la réalité du marché numérique. Cela rend difficile la compréhension du dispositif car, pour en saisir la portée, il faut avoir trois textes sous les yeux : le projet de loi qui nous est soumis, la loi de 1978 et le règlement européen. J’ajoute que la compréhension du dispositif sera complète lorsque nous disposerons de l’ordonnance, que le Gouvernement sera habilité à rédiger une fois le projet de loi adopté. Je regrette le recours à la procédure accélérée, mais nous sommes tenus par la date butoir du 25 mai. Il est d’ailleurs à remarquer que tous les pays européens, à part l’Allemagne et l’Autriche, qui ont déjà publié et voté leurs lois, sont dans la même démarche d’adaptation de leurs législations. J’ai effectué un certain nombre d’auditions, mais nous n’avons pas de visibilité complète sur la manière dont ces textes vont être transposés dans les différents États membres. Je ne peux donc pas répondre à toutes vos questions. La DG JUST continue pour sa part à faire des réunions d’information et de coordination entre pays pour essayer d’harmoniser au mieux. L’avantage d’avoir un texte large permet de continuer à le faire évoluer avec la jurisprudence, d’introduire des points de détails, des règlements, des recommandations de la CNIL qui peuvent couvrir des thèmes que vous avez mentionnés comme l’éducation au numérique. Au contraire, tout écrire et figer dans la loi, étant donné la vitesse à laquelle la technologie évolue, n’est pas forcément le meilleur choix.

Mme Marietta Karamanli.

Le traitement des données en matière d’éducation et de scolarité est un sujet différent de l’éducation au numérique. Il est regrettable de ne pas avoir de régime spécifique pour ces données compte tenu de leur caractère sensible.

Mme Christine Hennion, rapporteure.

Les données sont classifiées et ordonnées par le règlement. D’ailleurs, tout ce qui concerne les données de santé, les données génétiques et biométriques, est défini directement dans le règlement sans qu’il y ait à légiférer sur ce sujet. Les droits à l’oubli et à la portabilité ne sont pas mentionnés dans la loi parce que le RGPD est d’application directe pour cette matière. S’agissant du traitement des données sensibles, relevant de la sécurité et la défense nationale, cette question se trouve hors du champ du règlement et de la directive. Nous sommes encore en discussion avec les différents ministères : je poursuis mon travail d’audition avec la rapporteure au fond, Mme Paula Forteza, et la rapporteure pour avis, Albane Gaillot.

Au lieu d’avoir la CNIL qui délivre des autorisations au fur et à mesure, nous passons à un régime a posteriori ; c’est toute la philosophie de ce règlement, qui part du marché et vise à suivre au plus près ses évolutions. Les autorisations sont données souvent très tard : la réalité, c’est qu’un certain nombre d’entreprises sont coupées de la législation. Le choix qui a été effectué est de responsabiliser les entreprises : elles doivent apprendre ce que sont les données, elles vont devoir s’équiper de moyens, d’outils et avoir en interne ou en externe des spécialistes qui vont les aider sur ces questions tels que les délégués à la protection des données. En revanche, les sanctions sont alourdies de manière à s’assurer que les entreprises jouent le jeu. C’est effectivement une révolution culturelle pour l’ensemble des acteurs, que ce soient les entreprises ou les administrations.

Madame la Présidente Sabine Thillaye.

La décision de la Cour de Justice de mai 2014 « Google Spain » impose le droit à l’oubli, mais la machine, elle, n’oublie rien. Il faudrait parler plutôt d’autodétermination informationnelle. Les citoyens doivent dans ce domaine se responsabiliser en gérant au mieux la publicité de leurs données personnelles. Le législateur ne peut pas tout faire.

Mme Christine Hennion, rapporteure.

J’encourage vivement la mise en place d’un système de médiation des données pour prévenir les conflits, en complément de l’action de la CNIL.

 Mme Marietta Karamanli.

Je regrette la lenteur de l’exécution des décisions. Des contenus interdits peuvent rester en ligne longtemps après la décision.

Mme Christine Hennion, rapporteure.

Oui, et les moyens de la CNIL doivent être considérablement renforcés.

Puis la Commission a autorisé la publication du présent rapport.

 

Source photo: capture image depuis la vidéo de la commission sur le site de l'Assemblée Nationale