Onze jours à peine avant l’entrée en vigueur du règlement général sur la protection des données (RGPD), les dispositions de ce texte européen ont été inscrites dans la loi française, après un vote à l’Assemblée nationale, lundi 14 mai. Adopté en 2016 par le Parlement européen, le texte – qui régit la manière dont les entreprises et les administrations peuvent faire usage des données personnelles des utilisateurs – n’avait pas encore été transcrit en droit français. En France, ces pratiques étaient, pour l’instant, encadrées par la loi informatique et liberté de 1978 (modifiée par la directive européenne de 1995).

Malgré la procédure accélérée lancée par le gouvernement en décembre 2017, le texte s’est enlisé dans un fastidieux va-et-vient entre l’Assemblée nationale et le Sénat, dont les vues divergeaient sur de nombreux points. Le Sénat réclamait, en particulier, un régime dérogatoire temporaire pour les collectivités territoriales. Il s’est également opposé à l’Assemblée sur des points plus spécifiques du texte, dont l’âge de la majorité numérique, à partir duquel un adolescent peut de lui-même donner son consentement au traitement de ses données personnelles.

Article réservé à nos abonnés Lire aussi Protection des données : le texte européen qui hante les nuits des patrons de PME français

Peu de temps laissé aux députés pour débattre

Après l’échec des travaux d’une commission mixte paritaire et un deuxième passage devant les deux chambres, c’est finalement à l’Assemblée nationale – où le groupe La République en marche détient la majorité absolue – que devait donc revenir le dernier mot.

C’est donc devant une Assemblée clairsemée – à peine une petite quarantaine d’élus – que la garde des sceaux, Nicole Belloubet, est venue défendre un texte « qui est l’aboutissement de plusieurs années de travail au niveau européen et de plusieurs mois de travail en France ». Face à elle, plusieurs députés ont déploré le peu de temps laissé aux députés pour débattre de ce texte. Au nom de La France insoumise, Danièle Obono a fait connaître son opposition à ce texte, dont elle estime qu’il « laisse le champ à de très grandes entreprises pour faire du profit sur nos données personnelles », en pointant spécifiquement les GAFA (Google, Amazon, Facebook, Apple), pour qui les sanctions prévues par le texte (4 % du chiffre d’affaires) seraient trop modestes.

Au nom des Républicains, la députée Constance Le Grip a accordé le soutien de son groupe à ce texte, qui, selon elle, maintient un bon équilibre entre la protection des individus et les intérêts des entreprises. « Les affaires récentes [référence au récent scandale Cambridge Analytica] nous ont rappelé l’urgence à sanctionner les abus en matière de traitement des données personnelles », a-t-elle déclaré, tout en soulignant que son parti serait vigilant sur la mise en application du texte.

Menace de saisine du Conseil constitutionnel

Un sujet qui tient particulièrement à cœur à la rapporteuse du texte à l’Assemblée, Paula Forteza, qui a insisté sur ce point, en début de séance : « On ne peut pas se permettre une mise en œuvre au rabais », a pointé la députée de la deuxième circonscription des Français de l’étranger, qui reproche déjà aux principales plates-formes de ne se livrer qu’à une mise en conformité minimum.

Avant l’adoption définitive du texte, l’Assemblée nationale a consenti à l’adoption d’un ultime amendement combattant les applications préinstallées sur les terminaux (smartphones, tablettes, etc.), visant tout particulièrement les moteurs de recherche et les navigateurs – de Google et d’Apple – qui sont généralement fournis avec ces appareils.

Le parcours de ce texte de loi pourrait, cependant, ne pas s’arrêter là : le Sénat a, en effet, menacé de saisir le Conseil constitutionnel.

Lire aussi RGPD : ce qui change pour les particuliers