Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER

Les deux dernières lignes du RGPD, qui abroge la directive 95/46/CE dans son article 94, c’est-à-dire le précédent texte de référence sur la protection des données, sont celles-ci : « Il est applicable à partir du 25 mai 2018. Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre ». Il n’y a donc pas besoin de transcription dans une loi au niveau national. Néanmoins, les États sont invités à le faire, ce qui correspond à la pratique de beaucoup d’entre eux. Où l’on voit que l’Europe n’est pas encore une fédération, loin s’en faut.

La France a donc élaboré un projet de loi (texte soumis au parlement, seul titulaire du pouvoir législatif, mais proposé par le gouvernement) reprenant les dispositions du règlement européen sur la protection des données personnelles (on parle de « paquet européen »). Ce texte, présenté mi-décembre 2017 par la Ministre de la Justice Nicole Belloubet, a été adopté le 13 février 2018 par l’Assemblée Nationale, à une très forte majorité (505 voix pour, 18 voix contre et 24 abstentions). Pour qu’il entre en vigueur, il doit encore être approuvé par le Sénat, qui l’examine à partir du 20 mars (nous ne connaissons donc pas le résultat à l’heure où nous écrivons ces lignes, début mars, mais il n’y a pas de raison pour que les sénateurs votent différemment de leurs collègues députés sur ce point).

Hier c’eétait la loi Informatique et Libertés de 1978 qui s’appliquait. On mesure, à l’aune de cette longévité, l’intelligence des promoteurs de cette loi à l’époque (internet n’existait pas), même si elle est désormais obsolète. La nouvelle loi remplace donc celle de 1978, comme le RGPD remplace la directive de 1995 au niveau européen. Aux dispositions du règlement que nous avons vues, elle ajoute celles d’une directive applicable aux fichiers pénaux (qui concernerait notamment le fichier national des empreintes génétiques, celui des interdits de stades, ou encore le traitement des antécédents judiciaires).

« Il s’agit d’alléger les formalités préalables au profit d’une démarche de responsabilisation des acteurs et d’un renforcement des droits des individus. En contrepartie, les pouvoirs de la CNIL sont renforcés et les sanctions encourues considérablement augmentées », indiquait Madame Belloubet, reprenant dans ses propos la philosophie du règlement européen.

La loi va même plus loin que le RGPD sur deux points : l’âge de la « majorité numérique » et les actions de groupe. Sur le premier point, on se souvient que le RGPD la fixe à 16 ans, mais autorise les États à la baisser jusqu’à 13 ans. La France a choisi une position intermédiaire : « Un mineur peut consentir seul à un traitement de données à caractère personnel à partir de 15 ans » (cet abaissement d’un an n’est pas venu du gouvernement, mais des députés eux-mêmes, sous forme d’amendement au projet initial). Entre 13 et 15 ans, le consentement des parents est nécessaire. En dessous de 13 ans, toute collecte de données est interdite. Mais comment faire respecter de telles dispositions, quand on sait que, selon une étude de la CNIL en juin 2017, 63 % des 11-14 ans sont inscrits sur un réseau social, que 4 sur 10 mentent sur leur âge et que les plateformes ou les réseaux sociaux fixent leurs propres règles (il est possible de s’inscrire sur Facebook sans autorisation parentale à partir de 13 ans) ?

L’autre point fort de la nouvelle loi sur la protection des données est la possibilité d’actions de groupe, déjà initiées par les lois de 2014 puis 2016, mais qui cette fois permettrait d’obtenir réparation pour un préjudice « d’ordre matériel ou moral », alors que jusqu’à maintenant seul le préjudice économique était pris en compte. Malgré la difficulté de mettre en œuvre une telle procédure, c’est un moyen de pression de plus sur les entreprises qui est instauré par la nouvelle loi française.

Le texte français, en accord avec le RGPD qui prévoit des exceptions pour les domaines liés à la sécurité, maintient l’autorisation préalable pour le traitement « des données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes ». De même, le droit européen ne s’applique pas pour une dizaine de fichiers dits « de souveraineté », comme : le fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT).

Un aspect étonnant de la loi semble avoir été peu mentionné : le projet de loi habilite le gouvernement à réécrire dans les six mois, sous forme d’une ordonnance (article 38 de la constitution, le gouvernement agit dans un domaine qui est notamment celui du parlement) l’ensemble de la loi Informatique et Libertés. Cette nouvelle loi sur la protection des données aurait donc une durée limitée ? Non seulement cela paraît surprenant alors que le contenu principal de la loi est la transposition d’un règlement européen majeur, conçu pour durer. Mais en plus, on se demande pourquoi le parlement se dessaisirait de son pouvoir sur un sujet aussi fondamental. Enfin, comment exiger une mise en conformité des entreprises au 25 mai 2018 si l’on change la règle du jeu dans les prochains mois ?

Le consensus, rare dans notre pays, sur les nouvelles mesures en faveur de la protection des données, ne doit pas empêcher d’écouter les critiques, lorsqu’elles émanent de personnes aux compétences indiscutables en la matière. Nous en citerons simplement deux.

La première est de Yann Padova, ancien secrétaire général de la CNIL, aujourd’hui avocat au cabinet Baker McKenzie, qui écrivait dans Les Échos du 29 janvier : « Notre monde connaît un déluge de données, leur volume doublant tous les vingt-quatre mois. Faciliter leur analyse, chercher des corrélations inédites, favoriser l’émergence de services innovants, tel est l’enjeu du Big Data aujourd’hui et de l’intelligence artificielle demain. En renonçant à exploiter cette possibilité, le projet de loi fait le choix du conservatisme. Au vu des atouts de notre industrie française et de notre école mathématique, ce choix est regrettable. Il témoigne une nouvelle fois de l’absence de prise en considération du lien entre l’innovation, la protection des données et le développement industriel ».

La seconde est de Laurent Alexandre, spécialiste de l’intelligence artificielle (entre autres), dont les lumineuses analyses nous éclairent depuis des années quant à l’impact sur nos vies des technologies NBIC (nano, bio, informatique, sciences cognitives). Dans sa chronique du 24 janvier 2018, intitulé « Faut-il supprimer la CNIl ? », il écrit : « … l’IA trouve des corrélations inattendues entre des données, qui semblent, a priori, inintéressantes. Toute restriction du recueil de données handicape certes tous les opérateurs, mais permet surtout aux entreprises chinoises ou américaines de prospérer sans concurrence européenne ». Et plus loin : « À Bruxelles, il faut un Thatcher de la data pour mener la guerre technologique. À l’échelle française, il faut révolutionner la CNIL, qui est dirigée par une équipe remarquable, mais qui poursuit le mauvais but. Il faut enrichir sa mission par l’intégration de l’intérêt technologique de notre pays ».

Ce n’est pas le lieu ici d’ouvrir un débat. Mais ces deux regards avisés nous montrent que la légitime protection des données à caractère personnel ne doit pas s’exercer au détriment de l’innovation et du développement économique, sans quoi nous serons vassalisés.