Réunie le 29 juin dernier, la Commission Mixte Paritaire est parvenue à un compromis sur les dispositions du projet de loi pour une République numérique n’ayant pas fait l’objet d’un accord en première lecture. Le texte issu des conclusions de la CMP doit désormais être validé par un dernier vote à l’Assemblée nationale (fixé au 20 juillet) et au Sénat qui devrait avoir lieu au mois de septembre.
NPA Conseil propose de revenir sur le sort des principales dispositions du titre II, s’agissant de la protection des données personnelles et de la loyauté des plateformes.
En matière de protection des données personnelles, les changements apportés par la CMP portent principalement sur le sort des données personnelles après le décès de la personne, mais aussi sur le montant des sanctions pouvant être infligées par la CNIL en cas de violation de la législation sur les données personnelles, et le stockage des données sur le territoire européen, ces deux dernières dispositions ayant été supprimées. Aucune modification substantielle n’a été apportée par la CMP sur le droit à l’oubli pour les mineurs (article 32) et la confidentialité des correspondances privées (article 34).
Sur la question de la mort numérique, prévue à l’article 32 du texte, les parlementaires sont parvenus à une synthèse – après de nombreux revirements durant la navette – selon laquelle les héritiers pourront notamment « recevoir communication des biens numériques ou des données s’apparentant à des souvenirs de famille », sauf si des directives contraires ont été laissées, de son vivant, par l’internaute.
Pour rappel, les députés, en commission des lois, avaient retenu, à l’initiative du Gouvernement, une solution qui consistait à éteindre, au moment de son décès, les droits du défunt sur ses données personnelles et à interdire, par conséquent, à ses héritiers de les exercer (sauf dérogations).
Quant aux sénateurs, ils avaient voté, à l’inverse, la transmission automatique des droits informatiques et libertés (droits d’opposition, d’accès, de rectification et d’effacement) du défunt en l’absence de directives. C’est d’ailleurs cette rédaction qu’avait proposée le Gouvernement dans son texte initiale présenté le 9 décembre dernier, mais sur laquelle il était revenu en commission des lois en considération des observations formulées par la CNIL dans son avis sur le projet de loi.
En outre, le montant maximal de l’amende pouvant être infligée par la CNIL est passé à 3 millions d’euros (contre 150 000€ aujourd’hui), contrairement au plafond de 20 millions d’euros ou, pour les entreprises, 4 % de leur chiffre d’affaires annuel mondial, voté par les députés en première lecture (article 33 bis).
Enfin, l’obligation de stocker les données collectées sur le territoire de l’un des États membres de l’Union européenne, article additionnel inséré à l’initiative de sénateurs du groupe CRC, a été retirée.
Sur le sujet de la régulation des plateformes, la CMP n’a procédé à aucun changement substantiel sur la définition de ces nouveaux acteurs fixée à l’article 22 du texte, ainsi que sur les obligations de loyauté, de clarté et de transparence qui leur incombent. Les principaux apports de la CMP sur ce sujet résident dans la suppression, d’une part, de l’article 22 bis A, introduit au Sénat à l’initiative de Catherine Morin-Desailly, qui proposait une définition des moteurs de recherche, afin de leur appliquer des obligations spécifiques pour garantir la neutralité de leur référencement et classement ; et d’autre part, de l’article 22 bis B, introduit par le sénateur Yves Rome, qui faisait peser sur les opérateurs de plateformes devenus incontournables une obligation d’information renforcée préalablement à toute modification importante de leurs politiques tarifaires, de leurs politiques de contenus, d’accès aux API ou de changement substantiel dans les critères de classement par algorithmes.
Enfin, n’a pas été maintenu, à l’article 23 relatif aux obligations de bonnes pratiques des plateformes, le devoir d’agir avec diligence contre la contrefaçon, notamment en prenant des mesures « proactives » à l’encontre du piratage.