B. MAINTENIR À 16 ANS L'ÂGE DU CONSENTEMENT NUMÉRIQUE AUTONOME POUR LES MINEURS, EN CE QUI CONCERNE LES SERVICES DE LA SOCIÉTÉ DE L'INFORMATION
Contre les tenants d'un alignement pragmatique du droit sur les usages, votre rapporteur estime que la loi peut utilement fixer des termes symboliques, des âges charnières, nécessairement imparfaits, mais qui contribueront à guider la société en lui donnant des points de repères et dont les familles et les institutions éducatives pourront utilement se saisir dans leur oeuvre pédagogique.
Bien consciente du caractère extrêmement délicat du choix à opérer ici, votre commission a suivi la proposition de votre rapporteur et décidé de maintenir à 16 ans l'âge à partir duquel le responsable d'un traitement de données peut se fonder sur le consentement autonome d'un mineur dans le cadre d'une une offre directe de services de la société de l'information (article 14 A).
C. ENCADRER LE RECOURS AUX ALGORITHMES PAR L'ADMINISTRATION
À l'initiative de son rapporteur, votre commission a souhaité encadrer beaucoup plus strictement la faculté pour l'administration de prendre des décisions individuelles sur le seul fondement de traitements automatisés de données (article 14). Sans méconnaître les bénéfices que peut entraîner l'usage d'algorithmes par l'administration, il convient de se prémunir contre trois risques : le risque d'aveuglement à des circonstances particulières qui exigeraient l'exercice d'un pouvoir d'appréciation ; le risque que des décisions ne soient prises sur la base d'automatismes dont personne ne comprendrait exactement le fonctionnement (« boîtes noires ») ; et le risque de divergence entre le programme informatique et les normes légales ou réglementaires qui encadrent toute décision administrative (le « code » informatique et le « code » juridique).
D. RÉÉQUILIBRER LA PROCÉDURE D'ACTION DE GROUPE EN RÉPARATION DES DOMMAGES
L'extension de l'action de groupe en matière de données personnelles à la réparation des dommages a paru justifiée à votre commission : c'est le moyen de rendre plus effectifs les droits des citoyens à l'égard de leurs données, face aux géants de l'Internet.
Toutefois, votre rapporteur a également entendu l'inquiétude des petits opérateurs, dont chacun s'accorde à dire qu'ils ne seront pas prêts pour appliquer le règlement européen dès le 25 mai 2018, et qui pourraient être gravement menacés par une condamnation pécuniaire trop lourde - sans compter les risques d'abus de droit, de quérulence ou d'extorsion. Les petites collectivités territoriales sont également concernées.
Pour apaiser ces craintes, votre commission a estimé préférable de différer de deux ans l'entrée en vigueur de l'action de groupe en réparation des dommages , ce qui laissera le temps aux responsables de traitement de s'adapter.
Elle a également imposé l' agrément préalable des associations de protection de la vie privée pour que celles-ci puissent introduire une action de groupe : il s'agit de s'assurer du sérieux et de la gestion désintéressée de ces associations, sans nuire à leur indépendance.
Enfin, votre commission a souhaité prévoir une information systématique de la CNIL lors de l'introduction d'une action de groupe , afin qu'elle soit en mesure de présenter ses observations devant la juridiction et d'éclairer, le cas échéant, le contexte dans lequel des manquements se sont produits (articles 16 A et 24).