2

La position de la France

< Rapport d'information >

Les grandes lignes de la position défendue par les autorités françaises sur la proposition de règlement ont été exposées par Mme Aurélia Schaff lors de son audition ainsi que dans ses réponses écrites au questionnaire des rapporteurs.

De manière générale, la France a approuvé les objectifs d’approfondissement du cadre législatif de la directive 95/46 et de renforcement des droits des personnes concernées. Elle s’est opposée à toute disposition du règlement créant un recul par rapport au niveau de protection des droits des personnes assuré par cette directive.

Elle s’est notamment montrée défavorable à l’établissement d’une catégorie distincte de données à caractère personnel pour les données pseudonymisées , défendue par certains États membres, dont l’Allemagne. Dans cette hypothèse, la pseudomynisation aurait permis au responsable de traitement de se soustraire au respect de certaines obligations du règlement. Les autorités françaises ont estimé qu’une telle disposition affaiblirait les droits des personnes, la pseudonymisation ne présentant pas les mêmes garanties de protection que l’anonymisation, et qu’elle ne permettrait pas d’assurer la neutralité technologique du règlement. Le texte adopté a répondu à ces préoccupations puisque les données pseudonymisées restent définies comme des données à caractère personnel.

La pseudonymisation des données à caractère personnel

L’article 4 du règlement du 27 avril 2016 définit la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».

La pseudonymisation consiste à remplacer certaines données personnelles par un pseudonyme, par exemple grâce à un cryptage des données avec une clé secrète. La ré-identification de la personne demeure possible au moyen de la clé.

Le considérant 26 précise que « les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. »

Le considérant 28 cite la pseudonymisation comme un moyen de réduire les risques pour les personnes concernées, tout en précisant qu’il peut être recouru à d’autres techniques de protection des données.

La pseudonymisation est distincte de l’anonymisation , qui est « le résultat du traitement des données personnelles afin d’empêcher, de façon irréversible, toute identification » (34). Les données anonymisées ne sont pas considérées comme des données personnelles et sont donc situées hors du champ du règlement.

Selon le considérant 26 du règlement, « pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-c i. »

En raison de la spécificité des missions d’intérêt public et de contrôle des autorités publiques, la France s’est opposée à ce que les traitements de données par ces autorités soient soumis à des règles plus strictes et plus contraignantes que les traitements de données par le secteur privé.

Elle a soutenu le processus de responsabilisation des entreprises et l’approche fondée sur les risques. Elle a également promu le recours aux actions de groupe devant les juridictions et les autorités de contrôle, le renforcement du montant des sanctions encourues , l’introduction de dispositions encadrant le traitement des données des personnes décédées , la facilitation de l’exercice du « droit à l’oubli » pour les personnes mineures au moment de la collecte de leurs données.

Dans la proposition de règlement initiale, le critère de l’établissement principal du responsable de traitement déterminait l’autorité nationale de contrôle compétente. La France, fortement soutenue par l’Allemagne, a souhaité que le mécanisme de « guichet unique » garantisse que, dans le cas de traitements transnationaux, les personnes concernées conservent une proximité avec leur autorité de protection des données et leurs juridictions nationales, et que leur autorité de protection des données soit associée à la décision prise par l’autorité « chef de file ». Elle a également souhaité que le nouveau mécanisme assure une prise de décision collective et mise en œuvre de façon uniforme sur le territoire européen, en associant toutes les autorités de protection des données concernées et en conférant au comité européen de la protection des données créé par le règlement , doté de la personnalité juridique, le pouvoir d’adopter des décisions contraignantes pour régler les différends éventuels entre autorités de contrôle nationales.

Enfin, la France s’est montrée favorable, comme l’Allemagne, à un encadrement plus strict des transferts internationaux de données personnelles lorsqu’ils étaient opérés à la demande d’autorités publiques des États tiers.

En application de l’article 88-4 de la Constitution, l’Assemblée nationale s’est prononcée dès 2012 sur la proposition de règlement par une résolution européenne, proposée par votre co-rapporteur (35).

Elle avait alors exprimé son soutien à l’introduction des nouveaux droits prévus dans la proposition de règlement (« droit à l’oubli », « droit à la portabilité ») (36) ainsi qu’au renforcement des règles relatives au consentement. Elle s’était prononcée contre le critère de l’établissement principal du responsable de traitement et avait défendu le maintien de la compétence de l’autorité de protection d’un État sur tout traitement de données ciblant spécifiquement la population de cet État. Elle avait également souligné la nécessité de renforcer l’encadrement des transferts internationaux de données.

Les négociations sur le paquet « données personnelles » ont ensuite fait l’objet d’un suivi, tant au sein de la commission des affaires européennes que de la commission des Lois (37).

< Rapport d'information >