Le 13 février 2018, l’Assemblée Nationale a voté le projet de loi sur la protection des données personnelles. Le Sénat l’examinera prochainement. Parmi les bases du RGPD, le consentement, le 7 février, les députés en ont débattu.

Avant l’article 14 A

Mme la présidente. Je suis saisie de quatre amendements, n^os 86, 91, 92 et 184, pouvant être soumis à une discussion commune.

La parole est à M. Erwan Balanant, pour soutenir l’amendement n^o 86.

29. Erwan Balanant. Cet amendement vise à intégrer la définition du consentement donnée par la CNIL et le groupe de travail de l’article 29 sur la protection des données – G29. Il vise à définir les qualités essentielles que doit revêtir le consentement au traitement des données personnelles : la loyauté, le caractère volontaire, libre, spécifique et informé. Le consentement doit être délivré de manière libre et spécifique, comme le réaffirme la CNIL dans l’article 6 de la norme simplifiée NS-48. Cet amendement vise également à renforcer l’information donnée aux consommateurs, en reprenant cette norme simplifiée. Pour cela, l’accent doit notamment être mis sur l’utilisation que le site internet fera des données personnelles, plus particulièrement lorsque le site a pour ambition de vendre les données récoltées. Il s’agit de mettre en place une information claire, compréhensible et visible pour l’utilisateur, grâce à laquelle il aura connaissance de la finalité du traitement. Par conséquent, ce message informatif devra être communiqué autrement que par des conditions générales ou un règlement. Nous savons que le Gouvernement procédera, par ordonnance, à la mise en conformité de la législation relative à la protection des données personnelles, mais nous pensons que le consentement au traitement des données nécessite une attention particulière. Le sujet est suffisamment important pour qu’un dispositif de protection soit introduit dans le présent projet de loi.

    Enfin, bien que le Conseil d’État considère que l’utilisateur d’un service ne peut se prévaloir d’un droit de propriété sur les données personnelles transférées via un site internet, nous estimons que celui-ci doit être pleinement informé de ce à quoi il consent s’agissant de la finalité du traitement de ses données.

Mme la présidente. Les amendements n^os 91 et 92 peuvent faire l’objet d’une présentation groupée.

La parole est à M. Bruno Bonnell, pour les soutenir.

92. Bruno Bonnell. L’auteure de ces deux amendements est Mme Brocard. Chers collègues, savez-vous combien de fois, chaque jour, vos données personnelles, votre géolocalisation, votre adresse IP, vos goûts, vos opinions, votre situation familiale sont traités, malaxés, enrichis, extraits, pour vous délivrer une publicité, vous cibler ou vous envoyer un courriel ? C’est fait en toute légalité, car, vous ne le savez pas, mais vous avez donné votre consentement. Avez-vous compté le nombre de messages non désirés, de spams, qui envahissent votre boîte de réception ? Vous ne le savez pas, mais vous avez donné votre consentement. En effet, pour obtenir discrètement votre consentement, les opérateurs usent d’artifices toujours plus élaborés. On vous demande de cliquer sur de gros boutons – « valider », « je m’inscris », « j’achète » –, suivis de petites lignes illisibles et alambiquées indiquant : « en m’inscrivant, j’accepte… ». Beaucoup plus bas, sur la même page, figure une phrase encore plus illisible, qui vous propose de refuser le traitement de vos données. Mais vous ne la voyez jamais, puisqu’elle a disparu quand vous avez cliqué sur le gros bouton.

    Par cet amendement, nous proposons que l’action permettant de recueillir le consentement volontaire prévue par le RGPD n’ait aucune autre finalité. Ce consentement ne doit pas être dilué dans d’autres considérations. Il doit être possible de lire le formulaire jusqu’au bout avant de passer à une autre page. Le consentement ne doit pas être extorqué par un artifice.

    Au titre du RGPD, le consentement est donné par un acte positif clair. Nous souhaitons que celui-ci ne génère aucune autre action, et qu’une case cochée puisse être décochée avant de passer à autre chose.

    J’en viens à l’amendement n^o 92. Le RGPD définit ainsi les bases d’obtention du consentement : « toute manifestation de volonté libre spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». En 2004, la loi pour la confiance dans l’économie numérique donnait déjà une définition similaire : on entend par consentement « toute manifestation de volonté libre, spécifique et informée ».

    Ces formulations ne sont que des bases de travail, tant pour les opérateurs que pour la CNIL. Il me semble nécessaire de préciser ce qu’il est possible de faire et ce qu’il convient de ne pas faire pour être en accord avec ces principes, afin de protéger non seulement les personnes concernées, puisque les opérateurs, comme c’est le cas depuis la loi pour la confiance dans l’économie numérique, n’ont de cesse de trouver des artifices pour contourner ces principes et obtenir les consentements, mais également les opérateurs eux-mêmes, qui ont besoin d’avoir la certitude que leur méthode de recueil de consentements ne sera pas sanctionnée, le RGPD les obligeant à conserver des traces de cette méthode pour un contrôle éventuel.

    Nous proposons donc que la CNIL, en s’appuyant sur son travail au sein du G29 ainsi que sur l’observation des plaintes et sur l’expérience de ses nouveaux pouvoirs de contrôle et de sanction, établisse une norme qui définisse clairement les principes d’obtention du consentement, et que cette norme soit révisée afin de tenir compte de la jurisprudence, des nouvelles pratiques et des nouvelles technologies.

Mme la présidente. La parole est à Mme la rapporteure, pour soutenir l’amendement n^o 184 de la commission et donner l’avis de la commission sur les autres amendements en discussion commune.

Mme Paula Forteza, rapporteure. Cet amendement propose d’inscrire dans la loi de 1978 un renvoi à la définition du consentement figurant dans le RGPD. Le consentement est la préoccupation de tous, parce qu’il est la clé de voûte du texte. Tant que l’ordonnance n’est pas prise, il convient, pour tous les acteurs, de se référer à la loi de 1978. De manière exceptionnelle, nous nous sommes donc permis, du fait que nous n’avons pas pu nous pencher sur tous les grands dispositifs du texte, d’inscrire ce renvoi en attendant l’ordonnance qui sera prise par le Gouvernement.

En conséquence, avis défavorable à tous les autres amendements en discussion commune.

Mme la présidente. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Le Gouvernement émet un avis favorable à l’amendement n^o 184. En effet, par rapport à la directive de 1995, le RGPD apporte des éclaircissements et des précisions sur les exigences relatives à l’obtention et à la démonstration de l’existence d’un consentement valide, notion que nous avons déjà abordée en commission. L’article 4 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Ce consentement, au sein du règlement, est du reste une des six bases légales pour considérer qu’un traitement est licite. Il constitue une des clés de voûte de la protection des données à caractère personnel. La notion de consentement est également précisée à l’article 7 du RGPD, qui porte sur les conditions applicables au consentement, ainsi que dans plusieurs considérants, notamment les considérants 32 et 33.

Comme vous le savez, le droit des États membres ne peut pas se borner – je l’ai déjà souligné – à recopier les dispositions directement applicables issues des règlements de l’Union. Toutefois, afin de répondre à une attente légitime de clarification exprimée par plusieurs d’entre vous, il est possible que la loi renvoie à la définition de l’article 4 et aux conditions de l’article 7 applicables au consentement. Je suis donc favorable à l’amendement de la rapporteure ; c’est d’ailleurs ainsi que le Gouvernement procédera dans le cadre de l’ordonnance pour rappeler des droits contenus dans le règlement.

En conséquence, j’émets un avis défavorable aux autres amendements en discussion commune.

1. Erwan Balanant. Quelle tristesse !

Mme la présidente. La parole est à M. Bruno Bonnell.

1. Bruno Bonnell. N’étant pas un expert en ordonnances, je n’irai pas sur ce terrain. L’objectif de ces amendements est de bon sens. Pour avoir été moi-même spécialiste de ce domaine et pour savoir écrire en code HTML, je peux vous assurer qu’on peut, avec la meilleure bonne foi du monde, essayer de garantir la logique d’un consentement, l’apparition ou la disparition d’un bouton étant programmable de manière aléatoire. Il conviendra donc de trouver et d’inscrire dans la loi des systèmes de vérification technologiques permettant d’informer la personne. Les abus sont nombreux en la matière : il ne faudrait pas qu’on nous reproche plus tard de nous être contentés d’une directive technique sans être entrés dans la technologie elle-même. Mes chers collègues, avant de voter, demandez-vous si nous protégeons efficacement des concitoyens qui ne sont pas nécessairement informés en les renvoyant à une loi qui est très éloignée de leur quotidien.

Mme la présidente. La parole est à Mme la rapporteure.

Mme Paula Forteza, rapporteure. La CNIL apportera des précisions sur l’application technique de la définition du consentement via des codes de bonne pratique, des référentiels et des outils de droit souple. En revanche, du fait que la technologie évolue rapidement, la loi doit rester technologiquement neutre, ce qui permet de donner plus de flexibilité aux acteurs et à l’autorité de régulation.

(Les amendements n^os 86, 91 et 92, successivement mis aux voix, ne sont pas adoptés.)

(L’amendement n^o 184 est adopté.)

Pour information le texte de l’amendement n° 184

AMENDEMENT N°184

présenté par

———-

ARTICLE ADDITIONNEL

AVANT L’ARTICLE 14 A, insérer l’article suivant:

Au premier alinéa de l’article 7 de la loi n° 78‑17 du 6 janvier 1978 précitée, après le mot :

« concernée »,

sont insérés les mots :

« , dans les conditions mentionnées au 11 de l’article 4 et à l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, »

EXPOSÉ SOMMAIRE

L’article 7 de la loi du 6 janvier 1978 prévoit que, sous réserve de certaines exceptions, un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée.

De manière à préciser le sens de cette obligation, le présent amendement propose de renvoyer explicitement aux dispositions du règlement européen précisant les conditions dans lesquelles le consentement doit être recueilli.