CHAPITRE VI - VOIES DE RECOURS
Article 16 A (art. 43 ter de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Action de groupe en réparation
Introduit par l'Assemblée nationale en première lecture, par l'adoption en commission d'un amendement de sa rapporteure, l'article 16 A du projet de loi vise à étendre l'objet de l'action de groupe en matière de données personnelles à la réparation des préjudices matériels et moraux subis en raison d'un manquement aux obligations incombant à un responsable de traitement ou à son sous-traitant.
• Une innovation procédurale acceptée par le Sénat en première lecture, moyennant quelques tempéraments
Le Sénat avait accepté, en première lecture, l'extension de la procédure d'action de groupe à la réparation des préjudices causés par la violation des règles de protection des données à caractère personnel. Notre assemblée y avait vu une innovation utile pour renforcer l'effectivité des droits des personnes en cas de manquement des responsables de traitement, qui aurait en outre un fort effet dissuasif sur ces derniers.
À l'initiative de votre rapporteur, votre commission avait d'ailleurs étendu la portée de cette action de groupe en réparation, en prévoyant qu'elle s'appliquerait également aux préjudices causés par la violation du RGPD, et non pas seulement de la loi française.
Toutefois, il avait semblé nécessaire à votre commission d'apporter à ce dispositif quelques garde-fous :
- en imposant au demandeur à l'action d'en informer la CNIL , afin que celle-ci puisse effectivement exercer sa nouvelle faculté de présenter des observations devant toute juridiction ;
- en imposant l' agrément préalable obligatoire des associations dont l'objet statutaire est la protection de la vie privée et des données personnelles pour qu'elles puissent introduire une action de groupe, comme c'est le cas en matière de consommation, d'environnement et de santé ;
- en limitant cette nouvelle procédure à la réparation des dommages dont le fait générateur serait survenu postérieurement à son entrée en vigueur , comme l'a fait le législateur dans la quasi-totalité des cas où il a créé une action de groupe en réparation ;
- en différant de deux ans l'entrée en vigueur de l'action de groupe en réparation en matière de données personnelles, afin que les responsables de traitement, et notamment les plus petits d'entre eux (TPE-PME et collectivités territoriales), aient le temps de se mettre en conformité avec leurs nouvelles obligations issues du RGPD.
• Le refus, par l'Assemblée nationale, des principaux garde-fous souhaités par le Sénat
S'ils ont accepté le principe d'une information de la CNIL en cas d'introduction d'une action de groupe et celui de la limitation de cette procédure à la réparation des dommages dont le fait générateur sera survenu postérieurement à son entrée en vigueur, nos collègues députés sont revenus en nouvelle lecture, en commission et à l'initiative de la rapporteure, sur les deux autres garde-fous proposés par le Sénat. Ils ont également apporté à cet article quelques modifications rédactionnelles.
• La position de votre commission : rétablir l'équilibre trouvé en première lecture
Votre rapporteur n'a pas entendu d'argument probant qui s'oppose à l'agrément préalable des associations habilitées à introduire une action de groupe en matière de données personnelles. Compte tenu de l'enjeu financier considérable d'une telle procédure, il importe de se prémunir contre les risques d'abus . Le Sénat n'avait d'ailleurs pas subordonné l'agrément d'une association à des conditions excessives : il s'agissait seulement de s'assurer de l'activité effective de l'association, de la transparence de sa gestion, de sa représentativité et de son indépendance. Un tel agrément est requis en matière de consommation, d'environnement et de santé, et l'on conviendra que la réparation des dommages corporels causés par des manquements aux règles sanitaires n'est pas moins importante que celle des préjudices en matière de données personnelles...
Votre rapporteur reste également convaincue de la nécessité de reporter de deux ans l'entrée en vigueur de cette action de groupe en réparation. Chacun s'accorde à dire que les petits responsables de traitement, TPE-PME et collectivités territoriales, ne sont pas prêts pour appliquer dès le 25 mai 2018 l'ensemble des règles issues du RGPD. Il est de notre responsabilité de leur laisser un peu de temps et de ne pas les exposer dès à présent à de trop lourdes condamnations.
Notons d'ailleurs que, sur ce second point, le Gouvernement s'en était remis à l'appréciation du Parlement et n'avait pas déposé d'amendement au Sénat en séance publique.
Aussi votre commission des lois a-t-elle rétabli la rédaction de l'article 16 A adoptée par le Sénat en première lecture ( amendements COM-25 et COM-26 du rapporteur), ainsi que le report de deux ans de son entrée en vigueur ( amendement COM-40 du rapporteur à l'article 24 ).
Votre commission a adopté l'article 16 A ainsi modifié .
Article 16 (art. 43 quater [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Recours par mandataire
L'article 16 du projet de loi vise à permettre à toute personne de mandater une association ou une organisation syndicale aux fins d'exercer en son nom ses droits de recours devant la CNIL et les juridictions.
Afin de ne pas soumettre les associations susceptibles d'être ainsi mandatées à la condition d'agrément prévue pour l'introduction d'une action de groupe, votre commission a rétabli ici la disposition - supprimée par l'Assemblée nationale par cohérence avec la position adoptée à l'article 16 A - qui les en exonère ( amendement COM-27 du rapporteur).
Votre commission a adopté l'article 16 ainsi modifié .
Article 17 bis - Obligation, pour les responsables de traitement, de démontrer que les contrats conclus ne font pas obstacle au consentement et préservation, pour les utilisateurs, de leur liberté d'accès aux applications et services de leur choix sur les terminaux électroniques
Introduit en commission par le Sénat en première lecture, à l'initiative de notre collègue Claude Raynal (Socialiste et républicain) puis réécrit en séance à l'initiative du Gouvernement, l'article 17 bis du projet de loi vise à favoriser, pour le consommateur accédant à Internet, un choix de services et d'applications diversifiés sur leurs terminaux électroniques offrant les meilleures garanties de protection des données personnelles.
Il s'agit, très concrètement, d'éviter que les utilisateurs de terminaux mobiles soient enfermés dans un écosystème dominé par un seul opérateur et d'empêcher, par exemple, que des fabricants de terminaux se voient imposer de proposer aux utilisateurs certains services installés par défaut, sans alternative et collectant des données à caractère personnel pour les monétiser.
Le mécanisme initial proposé par cet article étant susceptible de porter atteinte à la liberté contractuelle, votre rapporteur avait salué un amendement d'appel en commission et donné un avis favorable à la réécriture proposée par le Gouvernement en séance.
Le présent article impose ainsi d'abord, de façon générale, au responsable d'un traitement reposant sur le consentement de la personne concernée « d'être en mesure de démontrer que les contrats qu'il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l'utilisateur final ». Il s'agit là d'une formulation que votre rapporteur a pleinement approuvée et qui peut se prévaloir tant de l'article 7, paragraphe 1, du RGPD (démonstrabilité du consentement) que de l'article 25 (relatif à la protection des données dès la conception et par défaut - « privacy by design / privacy by default »).
Cette formulation a cependant été ensuite enrichie par l'Assemblée nationale en nouvelle lecture d'un second alinéa qui donne désormais des exemples des cas de figures prohibés parce qu'il serait fait obstacle au consentement. Aux termes de l'ajout des députés :
« Peut en particulier faire obstacle à ce consentement le fait de restreindre indûment, sans justification d'ordre technique, économique ou de sécurité, les possibilités de choix de l'utilisateur final, notamment lors de la configuration initiale du terminal, en matière de services de communication au public en ligne et aux applications accessibles sur un terminal, présentant des offres et des conditions d'utilisation de nature équivalente selon des niveaux différenciés de protection des données personnelles. »
Votre rapporteur s'interroge sur la pertinence et sur la solidité juridique de ce dernier ajout. En effet :
- d'abord, les conditions de validité du recueil du consentement auprès des particuliers sont désormais entièrement régies par le RGPD (article 7 « Conditions applicables au consentement »), et il semble difficile pour le droit national de venir en préciser les modalités avec ce degré de détail (de telles considérations techniques auraient en revanche pleinement leur place directement dans le règlement e-privacy dont la réforme est toujours en cours à l'échelon européen) ;
- ensuite, la construction de la phrase n'est pas des plus intelligible, procédant par une double illustration imbriquée (« peut en particulier », « notamment lors de »), aux dépens de la clarté de la norme et au risque d'avoir des effets de bord imprévus, bien au-delà de la situation pour laquelle cette solution juridique a été imaginée (et qui concerne à l'origine le seul problème des moteurs de recherche préinstallés sur certains terminaux) ;
- en outre, la formulation choisie ménage de larges exceptions peu contraignantes (« sans justification d'ordre technique économique ou de sécurité ») que les grands acteurs du marché ne manqueront pas de mettre en avant pour faire obstacle à l'application effective de ce nouveau principe ; pour éviter cet écueil, votre commission a adopté un amendement COM-1 présenté par notre collègue Alain Marc qui restreint le champ de ces exceptions, prévoyant que les responsables de traitement ne puissent désormais se prévaloir que d'un « motif légitime d'ordre technique ou de sécurité » ;
- enfin, la sanction d'un manquement à ces nouveaux principes est laissée en suspens (s'agit-il d'une violation du principe de responsabilité ou d'une violation du principe de licéité du recueil du consentement ?)
Il s'agit en définitive, selon votre rapporteur, d'un problème qui ne pourra être réglé de façon pérenne et réellement satisfaisante que grâce aux instruments juridiques les mieux appropriés, ceux qui relèvent du droit de la concurrence ou ceux qui régissent les pratiques commerciales .
Si elle se réjouit donc qu'une formulation de compromis, même imparfaite, ait pu se dégager au fil de la navette entre le Sénat, le Gouvernement et l'Assemblée nationale, elle rappelle sa conviction profonde que le droit des données personnelles ne lui paraît pas ici le meilleur outil pour résoudre cette situation, et elle regrette vivement que l'Assemblée nationale n'ait pas maintenu l'article suivant que le Sénat avait introduit précisément à cet effet pour répondre à cet objectif (voir infra article 17 ter ).
Dans un esprit de compromis, votre commission a adopté l'article 17 bis ainsi modifié .
Article 17 ter (art. L. 420-2-3 [nouveau], L. 420-3, L. 420-4, L. 450-5, L. 462-3, L. 462-5, L. 462-6, L. 464-2 et L. 464-9 du code de commerce) - Prohibition de l'exploitation abusive d'une position dominante sur le marché des services de communication au public en ligne en subordonnant la vente d'un terminal à l'achat d'un service
L'article 17 ter est issu de l'adoption en première lecture en séance au Sénat d'un amendement de notre collègue Catherine Morin-Desailly (Union Centriste), avec l'avis favorable de votre commission.
Comme le précédent article, il vise à mieux garantir le libre choix pour les consommateurs de leurs outils numériques (moteur de recherche sur internet, système d'exploitation pour un ordinateur ou un smartphone, applications préinstallées, magasins d'applications...) en tentant de mieux encadrer certains phénomènes de vente liée qui peuvent amener à défavoriser indûment certains acteurs pourtant plus respectueux de la vie privée de leurs utilisateurs.
À la différence de l'article 17 bis (voir supra ), le présent article relève directement du droit de la concurrence et vise à encadrer certaines pratiques commerciales : il propose ainsi de renforcer les moyens offerts pour lutter contre les abus de position dominante mettant en jeu des interactions sur deux marchés distincts au sens du droit de la concurrence : le marché des services en ligne, d'une part, et celui des terminaux, d'autre part.
Il vise concrètement à prohiber les abus de position dominante ayant pour effet d'imposer au consommateur d'acheter des matériels informatiques dotés dès l'achat d'applications et de services, du fait de la position dominante des éditeurs de ces applications et services vis-à-vis des fabricants.
Il crée, dans le code de commerce, un nouvel article L. 420-2-3 qui prohibe , « lorsqu'elle tend à limiter l'accès au marché ou le libre exercice de la concurrence par d'autres entreprises, l'exploitation abusive par une entreprise ou un groupe d'entreprises d'une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d'un tel équipement à l'achat concomitant d'un tel service ». Seraient frappés de nullité les engagements, conventions et clauses contractuelles se rapportant à une telle pratique et les sanctions encourues seraient celles que peut prononcer l'Autorité de la concurrence en matière de pratiques anticoncurrentielles (en particulier des sanctions pécuniaires).
Votre rapporteur a proposé un amendement COM-28 , à la commission, qui l'a adopté, visant à rétablir cet article introduit par le Sénat mais supprimé en nouvelle lecture par l'Assemblée nationale, au bénéfice d'une précision rédactionnelle.
Alors que le ministère de l'économie et la direction générale de la concurrence, de la consommation et de la répression des fraudes ont assigné le 14 mars dernier Apple et Google devant le tribunal de commerce de Paris pour demander la cessation de certaines pratiques commerciales abusives concernant leurs « magasins d'applications », le présent amendement vise à élargir l'arsenal des mesures et permet de garantir au consommateur un réel choix.
Votre commission a rétabli l'article 17 ter ainsi rédigé .