Loi données personnelles : corrigeons la loi renseignement

Paris, le 18 janvier 2018 - Mardi prochain, l'Assemblé nationale commençera à examiner le projet de loi destiné à adapter le droit français aux nouvelles règles européennes protégeant nos données personnelles. La Quadrature a proposé six amendements à ce texte : l'un d'eux concerne la loi renseignement adoptée en 2015, dont certaines dispositions sont contraires à ces nouvelles règles européennes. Paula Forteza (LREM), engagée sur les sujets numériques et rapporteure du texte, doit saisir cette opportunité décisive pour la protection de notre vie privée.

En 2016, l'Union européenne a adopté deux textes fondamentaux en matière de protection des données. Le plus connu de ces deux textes est le règlement général sur la protection des données (RGPD). Dès le 25 mai prochain, il imposera des obligations précises à toute personne qui exploite les données personnelles d'Européens. Toutefois, par exception, ces obligations ne s'imposeront pas aux activités qui, mises en œuvre pour le compte de l'État, visent à lutter contre les infractions. Cette lutte contre les infractions est, elle, encadrée par un second texte : la directive 2016/680. Contrairement au RGPD, cette directive ne prévoit que des principes généraux que les États membres devront traduire dans leur droit national en règles précises. Ils ont jusqu'au 6 mai pour faire cette transposition.

Le projet de loi examiné mardi par l'Assemblée nationale poursuit deux objectifs : adapter le droit français en prévision de l'entrée en application du RGPD (afin de corriger certaines incohérences entre le droit français existant et le RGPD, par exemple) et traduire les principes de la directive 2016/680 en règles précises dans le droit français. La Quadrature du Net a fait parvenir six amendements aux députés examinant ce projet.

Cinq de ces amendements concernent le RGPD et visent à :

  • faciliter les actions de groupe, en prévoyant que les personnes (notamment les entreprises) sanctionnées remboursent à l'association les frais engagés pour porter l'action ;
  • exiger que les données soient chiffrées de bout en bout chaque fois que cela est possible ;
  • préciser dans la loi le caractère libre du consentement ;
  • concilier de façon cohérente la liberté d'expression et la protection des données personnelles, notamment en intégrant la jurisprudence de la Cour européenne des droits de l'homme (CEDH) qui instaure le critère de « contribution à un débat d'intérêt général » pour autoriser la publication de données ;
  • renforcer la protection des données sensibles, en corrigeant des imprécisions du RGPD, en intégrant des positions de la CNIL et en corrigeant le projet de loi.

Le sixième amendement, plus complexe, concerne l'intégration en droit français de la directive 2016/680 au regard des activités de renseignement. En effet, les pouvoirs donnés aux services français par la loi renseignement de 2015 rentrent directement dans le champ des activités visées par cette directive et doivent donc y être conformes. Or, ce n'est pas le cas sur de nombreux points, ce que La Quadrature propose de corriger afin que :

  • les personnes qui font l'objet d'une mesure de surveillance en soient informées dès que cette mesure prend fin, ou ultérieurement si cela met en péril l'objectif qui a initialement motivé la mesure (actuellement, ces personnes n'ont absolument aucune façon d'être informées des mesures subies, ce qu'exige pourtant la directive) ;
  • la Commission nationale de contrôle des techniques de renseignement (CNCTR) ait accès aux renseignements transmis aux services français par des services étrangers, afin de vérifier que ceux-ci sont licitement exploités (ce que la CNCTR ne peut pas faire aujourd'hui, alors que la directive l'exige) ;
  • tout particulier puisse saisir une juridiction pour contester la licéité d'une mesure de surveillance dont il pense faire l'objet (ce qu'exige la directive mais que le droit français ne prévoit pas s'agissant des mesures de surveillance internationale, menée en particulier par la DGSE) ;
  • les services français ne puissent transmettre ou collecter des renseignements auprès d'autres services, français ou étrangers, qu'en respectant les mêmes conditions que pour la mise en œuvre d'une technique de recueil de renseignement, et sous le contrôle de la CNCTR (ce qui n'est pas le cas aujourd'hui).

Avant-hier, la rapporteure du projet de loi, Paula Forteza, a reçu en audition La Quadrature du Net, les Exégètes amateurs et European Digital Rights (EDRi). Nous lui avons longuement expliqué l'importance de l'opportunité qui s'offrait à elle pour corriger notre droit. Elle est apparue à l'écoute de nos arguments et a semblé partager notre intérêt pour ces questions cruciales. Puisse-t-elle être à la hauteur de ces enjeux et défendre avec sincérité ses engagements en faveur du numérique. La Quadrature du Net invite chacun.e d'entre nous à suivre ses actions pour s'en assurer.

Lire nos propositions d'amendements

AttachmentSize
amendements_lqdn_pjl_rgpd_17_01_2018.pdf146.17 KB