Paula Forteza : « Le RGPD, un dispositif efficace pour protéger les citoyens »

Paula Forteza
©A. Bonfils
Le 26 avril 2018

Paula Forteza, députée de La République en marche (LRM), est rapporteure du projet de loi sur la protection des données personnelles, qui transpose le règlement européen RGPD dans le droit français. Elle défend les avancées de ce texte, très débattu en ce moment au Parlement, qui prévoit de nouveaux droits pour les citoyens (droit à l’oubli, le droit à la rectification et le droit à la portabilité des données). Le rôle de la Commission nationale de l'Informatique et des Libertés (CNIL) sera également renforcé, avec des pouvoirs d'enquête et de sanction plus importants.

Pourquoi légiférer sur la protection des données ?

C’est une question à laquelle nous sommes confrontés de façon récurrente. « A quoi bon ? », se demandent parfois les utilisateurs. Le règlement de la protection des données personnelles (RGPD) entend justement lutter contre ce sentiment d’impuissance, en construisant un dispositif efficace pour protéger les citoyens.

Est notamment mis en place une série de nouveaux droits qui n’existaient pas ou peu : le droit à l’oubli, le droit à la rectification, le droit à la portabilité des données. L’affirmation de ces nouveaux droits est assortie de sanctions fortes comme la possibilité d’infliger une amende allant jusqu’à 20 millions du chiffre d’affaires ou 4% de celui-ci.

L’autre obstacle auquel peut se heurter la législation sur la protection des données est le rythme accéléré de l’évolution technologique. Les innovations sont rapides, souvent plus rapides que la législation. Tout l’enjeu a donc été de rester le plus neutre possible technologiquement afin de ne pas exempter de toute protection le traitement des données personnelles opérées par les découvertes à venir.

Le recours à des outils de droit souple permet aussi de mettre en place une régulation plus flexible et plus adaptée aux enjeux du numérique.

Légiférer sur la protection des données personnelles est aussi un gage de sensibilisation. Il est important d’éveiller les consciences face à cet enjeu autrement que par différents scandales liés à des fuites de données, ou de détournement. Il est utile d’agir avant qu’il ne soit trop tard et légiférer a le mérite d’offrir cette possibilité.

Quel sera l’intérêt du texte pour les citoyens ?

Il est plus juste de parler des intérêts du texte, eu égard à la richesse du RGPD en la matière. Tout d’abord, il crée tout un nouveau volet de droits immuables pour les citoyens dont ils vont pouvoir se saisir dès le 25 mai 2018.

Ainsi, toute personne disposera d’un droit de rectifier ses données personnelles détenues, mais aussi de demander un droit à l’oubli, ou encore d’exiger leur portabilité – c’est-à-dire leur transfert à un autre acteur-, face à ces nouveaux droits l’exigence du recueil du consentement est rehaussée.

Désormais, les plateformes auront l’obligation de demander un consentement libre, spécifique, éclairée et univoque avant de lancer un quelconque traitement de données personnelles. Les personnes devront pouvoir revenir sur leur consentement à tout moment. La possibilité par des acteurs tiers de prendre connaissance et de réutiliser des données personnelles sans l’autorisation préalable des utilisateurs concernés - comme cela a été le cas dans le cadre du scandale du Cambridge Analytica, par exemple – sera très fortement pénalisée.

Par ailleurs, l’Assemblée nationale a œuvré – tout bord politique confondu – au renforcement de l’action de groupe en cas de violation de ces nouveaux droits. Les citoyens auront la faculté de faire une action de groupe exigeant la réparation du préjudice aussi bien matériel que moral suite à une méconnaissance des nouveaux droits.

L’intérêt du texte est donc multiple pour les citoyens et va vraiment créer un avant et un après sa mise en œuvre..

Quelles évolutions sont prévues pour la CNIL ?

Le rôle de la CNIL sera totalement transformé. La commission va passer d’une autorité de sanction à une entité d’accompagnement. Véritable boussole pour les acteurs, elle devra désormais les orienter dans leur mise en conformité par rapport au Règlement de la protection des données personnelles.

Les autorisations préalables exigées pour lancer un traitement de données personnelles sont supprimées au profit d’une responsabilisation des acteurs : il s’agit d’un changement de paradigme majeur.

Dans ce cadre, la CNIL a déployé et continue de déployer plusieurs outils d’accompagnement tels que des packs de conformité sectoriel, des guides de bonnes pratiques.

Face à cette nouvelle responsabilisation des acteurs, la CNIL s’est vue dotée d’un pouvoir d’enquête et de sanction important. Elle pourra prononcer des sanctions conséquentes qui pourront atteindre les 20 millions d’euros ou le 4% du chiffre d’affaires. Il était crucial que face à la responsabilisation des acteurs, il y ait une vraie sanction en cas de non-respect, le texte trouve son point d’équilibre grâce à cela.

La CNIL connaît un véritable changement d’échelle grâce à ce texte car en plus d’accompagner les entreprises et, en dernier ressort, les sanctionner, elle s’inscrira aussi dans une collaboration européenne grâce à la création du Comité Européen de la Protection des Données (CEPD) qui aura pour objectif d’insuffler une cohérence dans l’application du RGPD entre les différents pays mais aussi de peser dans les négociations internationales sur le sujet de la protection des données.

Quels sont les points sensibles et les apports de la commission des lois ?

Les points sensibles ont été peu nombreux puisque le texte a adopté en 1ère lecture à 523 voix pour et seulement 18 voix contre. Les avancées majeures du texte ont été : la création d’une véritable action de groupe en cas de manquements ou violations aux nouveaux droits consacrés par le RGPD avec une réparation du préjudice matériel et moral.

Il y a aussi eu la fixation d’une majorité numérique à 15 ans. Concrètement, cela signifie que les mineurs de moins de 15 ans n’auront pas la possibilité de s’inscrire sur une plateforme en ligne.

Le texte initial avait fixé cet âge à 16 ans, mais l’âge de 15 ans s’est imposé pour plusieurs raisons : 15 ans est l’âge moyen d’entrée au lycée mais aussi et surtout l’âge où un mineur peut consentir aux traitements de ses données de santé.

Un important travail a aussi été réalisé autour de la question des données scolaires. Il s’agit des données qui sont collectées dans un établissement scolaire que ce soit grâce aux applications utilisées pour faire l’appel ou un environnement numérique de travail (ENT), par exemple. Désormais, les enseignants devront recevoir une formation destinée à les sensibiliser à la question de la protection des données et les établissements scolaires devront mettre à disposition en open data la liste des traitements qui sont réalisés sur ces données.

Nous avons, enfin, introduit la possibilité pour les présidents des groupes parlementaires de saisir la CNIL, dans le cadre de l’élaboration d’une proposition de loi. Cela permettra de renforcer la qualité et la pertinence des textes en lien avec le numérique, qui sont de plus en plus nombreux.