Protégeons vraiment les données numériques des Français
Le 13 février dernier, l’Assemblée Nationale a voté le projet de loi lié à la protection des données personnelles. Ces nouvelles règlementations françaises étaient imposées par l’adaptation de la directive européenne effective pour fin mai 2018 et nommée RGPD (Règlement Général sur la Protection des Données Personnelles – GDPR en Anglais).
Si les différents groupes parlementaires de La République En marche, des Républicains, des Centristes et Socialistes ont voté « Pour » de concert, ainsi que le FN, la France Insoumise a voté contre.
Fidèle aux idées toujours défendues par DLF sur la protection des données des Français et la souveraineté numérique de notre pays, Nicolas Dupont-Aignan s’est abstenu devant cette proposition de loi à double tranchant.
Comme l’avait écrit Romain Gary « La loi c’est fait pour protéger les gens qui ont quelque chose à protéger contre les autres ». Notre société glisse sur des pentes vertigineuses du contrôle des individus par des groupes tant et si bien que l’avocat Alain BENSOUSSAN, spécialiste français de l’informatique, évoque même une notion de « Droit de l’Homme Numérique » qui ne se cantonnerait pas aux questions purement technologiques comme le sera la loi actuelle mais engloberait tous les enjeux posées en général par la révolution numérique.
Ce projet était dicté par la volonté de l’Union européenne d’aligner toutes les réglementations des pays membre sous sa seule autorité avec cette régulation à large spectre. Il est tout à fait souhaitable quel les nations européennes coopèrent entre elles pour protéger les données personnelles de leurs concitoyens et de leurs entreprises mais il est hors de question d’abandonner l’autorité de la CNIL, qui régule ces sujets en France, à une agence européenne contrôlée par des technocrates non élus.
Les différentes mesures prévues par Bruxelles étaient souvent en elles-mêmes, louables. Elles visent principalement à protéger les individus de la dissémination des données personnelles sur les sites européens mais aussi mondiaux. Les sites, acteurs et principaux vecteurs du numérique, devront jouer franc-jeu et demander maintenant, explicitement, le droit de collecter, de conserver, de céder/de transférer des données là où jusqu’à aujourd’hui, ce refus de droit devait être un acte motivé du spolié ou de l’utilisateur en désaccord actif avec ces pratiques. Le récent scandale, vite oublié, qu’est le vol de données mondial chez UBER, connu des mois après, (y compris des données de dizaines de milliers de Français) a illustré le risque de fuites d’identités et de moyens de paiement.
Or il est tout à fait possible de mener ce genre de politiques à l’échelle nationale en coordination avec nos voisins. Il est hors de question que la France confie le peu de souveraineté numérique qu’elle a acquise face aux Etats-Unis et aux multinationales type GAFA à Bruxelles dont la soumission aux intérêts des lobbies n’est plus à prouver. A ce titre, la conservation et le contrôle des données des ressortissants européens dans des serveurs situés dans les pays membres n’est même pas discuté par l’union européenne alors que tous les grands pays du monde, Chine en tête, ont chois de l’imposer pour ne pas dépendre des GAFA américains.
Ce n’est pas le seul sujet de réglementation qu’il convient de trancher. Deux points liés à l’ordre du jour des prochains travaux de l’Assemblée attirent particulièrement notre attention : l’âge de la majorité numérique et l’impact de toutes ces nouvelles réglementations sur les entreprises/associations qui devront les appliquer.
L’âge de raison numérique, proposé par la France est de quinze ans, soit un an de moins que l’âge possible d’émancipation d’un mineur et de l’âge proposé par l’organe régulateur (13 ans seulement !). Cela signifie, qu’un mineur peut accepter le stockage de ses données personnelles de son propre chef. Or, le monde du numérique n’est pas virtuel et a des conséquences bien réelles. Il est hors de question que des enfants puissent prendre des décisions immatures sans que leurs parents ne puissent exercer leur autorité. Pourquoi le numérique serait-il plus permissif en terme d’autonomie de l’adolescent que des actes réels et démarches impossibles avant 18 ans ?
Enfin, une fois les lois votées, celles-ci doivent pouvoir s’appliquer aux sociétés, associations ou toutes entités devant gérer des données personnelles.
Les grands groupes ont les capacités de s’adapter. Il faudra donc veiller à ce qu’ils n’utilisent pas la négligence comme un prétexte et qu’ils prennent bien les mesures effectives et systématiques de demande d’accord de leurs clients et utilisateurs.
En revanche les petites structures auront des difficultés réelles de prise en compte fonctionnelle et technique, par manque de ressources humaines à allouer, de coûts… La proposition de lois du gouvernement semble prendre en compte ces spécificités. La France ne doit pas comme d’habitude surrèglementer face aux exigences de Bruxelles. La CNIL s’est engagée à publier un « pack » de mise en conformité pour les entreprises de moins de 250 salariés.
Cependant, on comprend bien que la CNIL sera bel et bien soumise au contrôle de l’autorité centrale de l’Union Européenne. La France ne sera donc pas libre d’accompagner comme elle le souhaite entreprises et institutions, d’où l’abstention de DLF pour protester non pas contre l’idée de protéger les consommateurs mais de confisquer aux nations le pouvoir de le faire.
La perte d’autonomie de la CNIL ainsi reléguée en simple agence déportée, vassalisée, va mettre à mal, de nouveau, un nième pilier de la souveraineté française face aux sujets déjà en cours d’accaparement, par l’UE. Le couperet d’une amende importante (supérieure à un million d’euros) pouvant tomber en guise d’exemplarité. Cela ne va pas sans nous rappeler les menaces, d’une teneur identique, liées au CETA ou au TAFTA … plus récemment aux accords à venir avec le MERCOSUR.
Nous affirmons, ainsi, les cinq points suivants, dans le peu de degrés de liberté laissés par de telles mesures liées à notre aliénation au système toujours plus délégué aux instances de l’Union Européenne et au transfert de gouvernance de nos grands sujets sociétaux :
Debout La France demande, que la CNIL conserve sa pleine autorité dans le contrôle de la souveraineté numérique de la France et des données personnelles des Français. La coopération avec nos alliés européens doit se faire dans le respect des nations.
Même si cela reste symbolique, Debout La France demande que cette notion de « majorité numérique » soit de 16 ans, et non de 15 ans, pour ne pas sortir du cadre légal général (de l’émancipation possible).
L’effort demandé aux entreprises françaises soit à la mesure de ce qu’on exige de ses concurrents étrangers (entre autres les fameux GAFA et autres géants asiatiques du net) à l’image des mêmes demandes faites pour la taxation des bénéfices localement et non dans un pays favorable (comme l’Irlande ou Luxembourg en particulier).
Afin que les données personnelles ne finissent pas dans des datacenters ou les solutions « cloud » des acteurs leaders américains ou asiatiques, nous exigeons le stockage des données sur le territoire français par un opérateur français, avec une fois encore des coopérations possibles avec nos alliés européens qui offriraient des garanties d’indépendance suffisante.
Pour se mettre en conformité avec la protection des données de leurs clients, les PME et PMI doivent pouvoir opter pour un Délégué à la Protection des Données qui agira en « prestataire » accrédité par la CNIL à des tarifs encadrés et acceptables. Ce procédé les protègerait des lourdeurs et de coûts prohibitifs.
Lionel Mazurié | Délégué national au numérique