TITRE IV - HABILITATION À AMÉLIORER L'INTELLIGIBILITÉ DE LA LÉGISLATION APPLICABLE À LA PROTECTION DES DONNÉES (DIVISION ET INTITULÉ SUPPRIMÉS)
Article 20 - Habilitation à réviser par ordonnance la législation relative à la protection des données personnelles
L'article 20 du projet de loi tend à habiliter le Gouvernement à prendre, dans un délai de six mois , une ordonnance pour procéder à une réécriture de l'ensemble de la loi « Informatique et libertés » afin, notamment, d'améliorer son intelligibilité, de mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données à caractère personnel et d'en prévoir l'application à l'outre-mer.
Regrettant le manque d'anticipation flagrant du Gouvernement, s'agissant d'une directive et d'un règlement dont le contenu était connus dès avril 2016, soit il y a près de deux ans, votre commission avait supprimé en première lecture cet article pour signifier au Gouvernement sa vive désapprobation du procédé et lui laisser le soin, s'il le souhaitait, de venir en séance devant la représentation nationale expliquer les raisons de cette impréparation, rétablir l'habilitation sollicitée et préciser les contours du futur texte résultant de cette ordonnance.
Le Gouvernement s'étant engagé en séance à offrir un cadre juridique lisible, consistant en une simple codification sans rien changer aux décisions du Parlement et à l'informer régulièrement de l'avancement du projet d'ordonnance, le présent article d'habilitation avait été rétabli en séance à la suite de l'adoption d'un amendement du Gouvernement modifié par un sous-amendement de votre rapporteur qui prenait acte de ces engagements donnés au Sénat et encadrait à double titre l'habilitation sollicitée :
- sur le fond, en précisant expressément que l'ordonnance ne pourrait modifier les équilibres auxquels sera parvenu le Parlement ;
- dans le temps, en réduisant à quatre mois le délai pour prendre cette ordonnance.
En nouvelle lecture, suivant l'avis favorable de sa rapporteure, l'Assemblée nationale a adopté un amendement du Gouvernement rétablissant à six mois le délai d'habilitation, « compte tenu de l'ampleur du travail de codification à accomplir et de la complexité légistique de cette entreprise ».
Votre commission a adopté l'article 20 sans modification .
Article 20 bis (supprimé) - (art. L. 242-20 et L. 224-42-1 à L. 224-42-4 du code de la consommation ; art. 48 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) - Droit à la portabilité des données personnelles et des données non personnelles
Introduit par l'Assemblée nationale en première lecture en séance, et rétabli en nouvelle lecture après sa suppression par le Sénat, l'article 20 bis du projet de loi supprime du droit national les dispositions instaurant un droit à la récupération et à la portabilité en faveur des consommateurs, dont le principe est désormais régi par le RGPD en ce qui concerne la portabilité des données personnelles.
Cette suppression des dispositions instaurant un droit à la récupération et à la portabilité en faveur des consommateurs a, de nouveau, été motivée par le fait que la mise en oeuvre de deux régimes distincts (données personnelles, données non personnelles) pourrait poser des « difficultés d'interprétation » et rendrait complexe le tri à opérer entre les demandes de récupération de données relevant de deux régimes juridiques différents.
Votre rapporteur ne partage toujours pas cette analyse, et note bien au contraire toute l'utilité de conserver également un droit spécifique à la récupération et à la portabilité des données n'ayant pas un caractère personnel.
Comme le soulignait déjà notre collègue Christophe-André Frassa, rapporteur de votre commission lors de l'introduction de ces droits dans la loi pour une République numérique : « I l s'agit moins d'anticiper le droit à la portabilité des données personnelles prévu par le futur règlement européen que d' assurer la régulation d'un secteur économique au bénéfice du consommateur et de la concurrence . [La portabilité des données non personnelles] est une chance de briser le quasi-monopole des grands opérateurs sur la concentration des données des utilisateurs des services en ligne, en permettant à des entreprises innovantes de proposer à ces derniers des services plus adaptés, exploitant directement la masse des données transférées. »
L' Autorité de régulation des communications électroniques et des postes (ARCEP ), dans son récent rapport sur la neutralité des terminaux 25 ( * ) , se réjouit en ces termes des avancées ainsi permises : « Les consommateurs bénéficient désormais d'un droit de récupérer leurs données, puisque les fournisseurs de services de communication au public en ligne ont (conformément à la loi pour une République numérique) une obligation de mettre en place une fonctionnalité permettant à au consommateur de récupérer " l'ensemble de ses données ", un périmètre qui inclut des données personnelles, pour lesquelles la CNIL est compétente , et des données non personnelles, pour lesquelles la DGCCRF est compétente ».
En outre, répondant en février 2017 aux députés rapporteurs de la mission d'information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles, la direction des affaires civiles et du sceau du ministère de la justice leur confirmait que « les données n'ayant pas un caractère personnel visées par [le droit à la portabilité de la loi république numérique] sont les données anonymes au sens du règlement, (...). Ces données étant situées hors du champ d'application du règlement, les deux régimes de portabilité sont compatibles (...) ces deux régimes semblent cohérents . » 26 ( * )
À l'initiative de votre rapporteur, la commission a adopté un amendement COM-35 et supprimé l'article 20 bis
* 25 ARCEP, Smartphones, tablettes, assistants vocaux : les terminaux, maillon faible de l'internet ouvert (15 février 2018) :
https://www.arcep.fr/uploads/tx_gspublication/rapport-terminaux-fev2018.pdf .
* 26 Rapport d'information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française, présenté par Mme Anne-Yvonne Le Dain et M. Philippe Gosselin : http://www.assemblee-nationale.fr/14/rap-info/i4544.asp