TITRE IV - HABILITATION À AMÉLIORER L'INTELLIGIBILITÉ DE LA LÉGISLATION APPLICABLE À LA PROTECTION DES DONNÉES
Article 20 (supprimé) - Habilitation à réviser par ordonnance la législation relative à la protection des données personnelles
L'article 20 tend à habiliter le Gouvernement à prendre, dans un délai de six mois , une ordonnance pour procéder à une réécriture de l'ensemble de la loi Informatique et libertés afin, notamment, d'améliorer son intelligibilité, de mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données à caractère personnel et d'en prévoir l'application à l'outre-mer.
Quasiment tous les experts et organisations reçus en auditions au Sénat par votre rapporteur ont critiqué le caractère illisible, voire trompeur, du texte de la loi Informatique et libertés qui résultera des modifications apportées par le projet de loi .
En amont même de l'élaboration du texte, les avis préalables obligatoires sollicités par le Gouvernement étaient déjà parvenus à un tel constat : la CNIL a ainsi tenu à : « dénonce[r] le défaut de lisibilité de l'état du droit résultant du projet de loi » 135 ( * ) , quant au Conseil d'État , il juge : « [le] résultat très insatisfaisant en termes de lisibilité du droit positif » 136 ( * ) .
Si elle reconnaît volontiers que cette complexité est d'abord pour une petite partie inévitable, résultant du choix fait par le législateur européen lui-même d'adopter un règlement (général) et une directive (dans le domaine « police et pénal »), votre rapporteur souhaite aussi mettre le Gouvernement devant ses responsabilités , et regrette :
- un manque d'anticipation flagrant, s'agissant d'un projet de loi nécessaire à l'adaptation en France d'un règlement et d'une directive dont le contenu était pourtant connu dès avril 2016, il y a désormais près de deux ans ;
- un état du droit à venir très insatisfaisant, sans cohérence d'ensemble, où manqueront encore dans le détail de multiples coordinations ;
- et une grave incertitude sur l'applicabilité outre-mer, préjudiciable à la sécurité juridique et révélant un certain manque de considération pour nos compatriotes hors de l'hexagone.
Contrairement à son homologue à l'Assemblée nationale, confrontée aux mêmes critiques unanimes, votre rapporteur ne saurait se contenter de constater que, pour regrettable qu'elle soit, « cette méthode n'en est pas moins parfaitement constitutionnelle ». L'accessibilité et l'intelligibilité du droit est aussi un objectif à valeur constitutionnelle.
Elle a donc proposé à votre commission de signifier au Gouvernement sa vive désapprobation du procédé en supprimant purement et simplement cette habilitation ( amendement COM-89 ), laissant au Gouvernement le soin, s'il le souhaite, de venir en séance devant la représentation nationale expliquer les raisons de cette impréparation, rétablir l'habilitation sollicitée et préciser les contours du futur texte résultant de cette ordonnance.
Votre commission a supprimé l'article 20 .
Article 20 bis (supprimé) (Art. L. 242-20 et L. 224-42-1 à L. 224-42-4 du code de la consommation ; article 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) - Droit à la portabilité des données personnelles et des données non personnelles
Introduit par l'Assemblée nationale en séance, l'article 20 bis du projet de loi supprime du droit national les dispositions instaurant un droit à la récupération et à la portabilité en faveur des consommateurs, dont le principe est désormais régi par le RGPD en ce qui concerne la portabilité des données personnelles.
L'article 48 de la loi du 7 octobre 2016 pour une République numérique a prévu la mise en oeuvre, à compter du 25 mai 2018, d'un droit général à la récupération et à la portabilité des données aux termes duquel : « Le consommateur dispose en toutes circonstances d'un droit de récupération de l'ensemble de ses données » (article L. 224-42-1 du code de la consommation).
Il opère cependant une distinction selon le type de données concernées, à caractère personnel ou non.
D'une part, s'agissant des données à caractère personnel , l'article L. 223-42-2 du code de la consommation renvoie au nouveau droit à la portabilité créé par l'article 20 du RGPD, qui garantit aux personnes le droit de « recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et [...] de transmettre ces données à un autre responsable du traitement ». Ce droit s'applique à tous les responsables de traitement automatisé, hors autorités publiques, et aux données fournies par les personnes concernées sur la base du consentement ou d'un contrat.
D'autre part, s'agissant des données n'ayant pas un caractère personnel , l'article L. 223-42-3 du code de la consommation définit un régime distinct qui ne concerne que les fournisseurs de service de communication au public en ligne. Ceux-ci doivent proposer aux consommateurs une fonctionnalité gratuite leur permettant la récupération :
- de tous les fichiers qu'ils ont mis en ligne ;
- de toutes les données résultant de l'utilisation du compte d'utilisateur du consommateur et consultables en ligne par celui-ci (à l'exception de celles ayant fait l'objet d'un enrichissement significatif par le fournisseur du service) ;
- et de certaines données associées au compte utilisateur du consommateur facilitant le changement de fournisseur ou l'accès à de nouveaux services (définies par décret).
Par un amendement de M. Éric Bothorel, adopté en séance avec avis favorable de la commission et du Gouvernement, l'Assemblée nationale a supprimé du droit national l'ensemble de ces dispositions instaurant un droit à la récupération et à la portabilité en faveur des consommateurs. Seul subsisterait désormais le droit à la portabilité des données personnelles dans le cadre du règlement.
Cette suppression a été motivée par le fait que la mise en oeuvre de deux régimes distincts (données personnelles, données non personnelles) pourrait poser des « difficultés d'interprétation » et rendrait complexe le tri à opérer entre les demandes de récupération de données relevant de deux régimes juridiques différents.
Votre rapporteur ne partage pas cette analyse, et note au contraire toute l'utilité de conserver également un droit spécifique à la récupération et à la portabilité des données n'ayant pas un caractère personnel.
Comme le soulignait déjà M. Christophe-André Frassa, rapporteur de votre commission lors de l'introduction de ces droits par la loi République numérique : « il s'agit moins d'anticiper le droit à la portabilité des données personnelles prévu par le futur règlement européen que d'assurer la régulation d'un secteur économique au bénéfice du consommateur et de la concurrence. [La portabilité des données non personnelles] est une chance de briser le quasi-monopole des grands opérateurs sur la concentration des données des utilisateurs des services en ligne, en permettant à des entreprises innovantes de proposer à ces derniers des services plus adaptés, exploitant directement la masse des données transférées. »
Votre commission a adopté l'amendement COM-24 de notre collègue Christophe-André Frassa et supprimé l'article 20 bis .
* 135 Délibération n° 2017-299 du 30 novembre 2017 de la CNIL portant avis sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n° 78-17 du janvier 1978, consultable à l'adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/projet_davis_cnil.pdf
* 136 Avis n° 393836 du Conseil d'État, consultable à l'adresse suivante : http://www.assemblee-nationale.fr/15/pdf/projets/pl0490-ace.pdf