Quantcast

Les principaux points d’achoppement du projet de loi “Protection des données”

27 avr. 2018, PAR Emile Marzolf
  • 06
    MIN
  • 0

Fotolia

À moins d’un mois de l’entrée en application en Europe du Règlement général sur la protection des données, l’adoption du projet de loi sur la protection des données personnelles se fait encore attendre. Tour d’horizon des principales divergences entre les deux chambres avant la dernière lecture, le 14 mai.


Sénateurs et députés ont encore manqué de tomber d’accord. Considérant l’imminence de l’entrée en vigueur du Règlement général sur la protection des données (RGPD), le 25 mai prochain, le gouvernement avait engagé la procédure accélérée pour adopter le projet de loi “Protection des données personnelles” dans les plus brefs délais.

C’était sans compter sur un énième échec de commission mixte paritaire (CMP), au cours de laquelle sénateurs et députés doivent, après une lecture par chambre, s’accorder sur la version finale d’un texte de loi. Le 6 avril, les deux chambres ont manqué de s’accorder sur une version commune du texte portant modification de la loi “Informatique et Libertés” de 1978, qui est aussitôt parti en relecture à l’Assemblée nationale puis au Sénat.

Après une nouvelle lecture et quelques modifications par l’Assemblée nationale, les élus du palais du Luxembourg se sont attelés à réintégrer les principales dispositions qu’ils avaient ajoutées au premier texte. Néanmoins, dans le cadre de la procédure accélérée, c’est à l’Assemblée que reviendra le dernier mot, le 14 mai prochain, à dix jours de la date fatidique. “Nous avons réintégré l’essentiel”, confirme Sophie Joissains, rapporteure du projet de loi au Sénat, à Acteurs publics. Lors de la seconde lecture du texte à la Chambre haute, le 19 avril, les sénateurs se sont en effet empressés de réintégrer au texte la plupart des dispositions qu’ils avaient proposées à la première lecture, pour obliger les députés à les réétudier.

Défense des collectivités

L’échec de la CMP est le résultat, selon la sénatrice des Bouches-du-Rhône, du refus des députés d’exempter d’amendes les collectivités, alors que “l’État s’est lui-même exempté”, et de garantir la transparence des algorithmes administratifs. Concernant le premier point de divergence, le sénateur Jérôme Durain n’a pas manqué de rappeler l’État à l’ordre, lors de la séance publique, prenant pour exemple la controverse d’une vidéo Youtube de présentation du prélèvement à la source, dont le visionnage est rendu obligatoire sur le site Impots.gouv et qui siphonnerait les données des utilisateurs. “L’État central se fait avoir comme un bleu”, en avait-il conclu. En d’autres termes, selon les sénateurs, pourquoi les collectivités devraient-elles être irréprochables si l’État lui-même ne l’est pas ?

Sur les amendes administratives prononcées par la Commission nationale de l’informatique et des libertés (Cnil), que les sénateurs souhaitent épargner aux collectivités, l’opposition des députés était et est toujours totale. “Si on enlève cette pénalité financière, il n’y aura plus aucun levier pour obliger les acteurs à se mettre en conformité. Les dispenser de pénalité financière, c’est les déresponsabiliser alors même qu’ils traitent des données sensibles”, juge Paula Forteza, rapporteure du texte à l’Assemblée nationale.

Pas de restriction pour les actions de groupe

Les sénateurs ont également rétabli une disposition permettant de repousser de deux ans l’engagement de la responsabilité de la collectivité qui aurait contrevenu aux règles du RGPD. Mais pour les députés, il n’est pas question de dispenser les collectivités des actions de groupe en réparation pour préjudices. “Si on met en place des nouveaux droits, il faut bien des voies de recours pour les rendre efficaces”, justifie encore la députée de la deuxième circonscription des Français de l’étranger. En guise de compromis, les sénateurs avaient proposé, en CMP, de créer un agrément pour déterminer les associations autorisées à mener de telles actions de groupe. Or les associations doivent déjà répondre à un certain nombre d’exigences dans le texte actuel. Elles doivent notamment justifier d’au moins cinq ans d’existence et avoir inscrit la protection des données dans leur objet social.

Concernant les propositions qui allaient dans le sens de la protection des collectivités, le Palais-Bourbon était “d’accord dans l’esprit, mais nous ne pouvions pas aller jusqu’à l’exemption, au risque de casser l’équilibre du texte”, explique la rapporteure de la Chambre basse. Les députés avaient ainsi choisi de conserver l’article du Sénat relatif à la mutualisation des infrastructures au niveau local, mais aussi “l’information spécifique et individualisée par la Cnil aux collectivités comme cela a été fait pour les petites et moyennes entreprises”, de même que la prise en compte des spécificités des collectivités dans les futurs éléments de droit souple de la Cnil (règlements types, liste des traitements à enregistrer…).

Quant au fléchage des amendes prononcées par la Cnil vers une dotation de soutien à la mise en conformité des collectivités, la disposition, contraire à l’article 40 de la Constitution – qui dispose qu’aucune décision du Parlement n’ait pour conséquence de créer une charge publique –, faisait plutôt office de “message pour le gouvernement”, souligne Sophie Joissains, lequel n’a pas semblé “vouloir reprendre cette idée”.

Transparence des algorithmes

Le second principal point d'achoppement entre les deux chambres porte sur les règles de transparence des algorithmes administratifs, dont les établissements d’enseignement supérieur ont été dispensés par dérogation à travers la loi du 8 mars 2018 relative à l’orientation et à la réussite des étudiants. Dans leur dernière lecture du texte, les sénateurs ont de nouveau souhaité réaffirmer la transparence totale de la plate-forme Parcoursup, héritière d’Admission post-bac (APB), et des algorithmes utilisés par les établissements locaux d’enseignement pour déterminer les élèves susceptibles de les rejoindre à la rentrée. “Ce sont eux qui vont permettre soit l’aide à la décision soit la décision tout court et donc permettre à un lycéen d’accéder ou pas à certaines filières”, argue Sophie Joissains. Si la décision venait à être prise sur la base de tel ou tel critère, comme “une note qu’ils ont eue en seconde ou en première, c’est peut-être utile qu’ils le sachent dès le départ”, poursuit-elle.

De son côté, si la députée Paula Forteza “aurai[t] souhaité revenir vers la disposition de la loi Lemaire” sur la transparence des algorithmes utilisés par les administrations, elle justifie la validité de cette dérogation par l’engagement pris par le gouvernement “d’ouvrir l’algorithme de la plate-forme générale et ceux des établissements locaux”. L’objet de cette dérogation viserait ainsi à ne pas “changer les règles du jeu en pleine réforme” afin de “donner aux différents acteurs le temps de s’adapter”. Ce à quoi le Sénat avait répondu en proposant de repousser l’obligation de transparence à la rentrée 2019.

Rapport annuel

La proposition n’a toutefois pas été acceptée en CMP par les députés, qui sont restés sur l’idée d’un rapport annuel qui “expliquera les enjeux, la mise en œuvre et la façon dont les acteurs se sont emparés des algorithmes, s’ils les utilisent vraiment et dans quelle mesure”, décrit Paula Forteza, qui assure “s’engager à suivre le dossier et à proposer une nouvelle loi” si le gouvernement venait à ne pas respecter ses promesses de transparence. Les voies de recours, telles que les pénalités administratives que les sénateurs ont voulu écarter s’agissant des collectivités, devraient, selon elle, justement permettre d’assurer le contrôle et la maîtrise des algorithmes par les administrations.

Reste que cette décision de déroger aux règles de transparence pour les algorithmes locaux fait tache et “détonne avec les récentes déclarations du Président Macron sur le gouvernement ouvert et l’intelligence artificielle”, relève Sophie Joissains.

Quoi qu’il en soit, le texte qui résultera de la dernière lecture par l’Assemblée nationale, le 14 mai prochain, ne devrait pas être bien différent de celui que la Chambre basse avait initialement adopté, moyennant quelques ajustements sur l’accompagnement des collectivités et sur la liberté de choix effective concernant les services auquel un utilisateur peut accéder sur son terminal.