L’Assemblée nationale a adopté aujourd’hui, en nouvelle lecture, le projet de loi adaptant le droit français au Règlement européen sur la protection des données personnelles (RGPD). Le texte ne devrait désormais plus guère bouger.

Le Palais Bourbon a ainsi maintenu ses positions sur tous les points-clés du texte : extension de l’action de groupe en matière de données personnelles, « majorité numérique » fixée à 15 ans, saisine parlementaire de la CNIL, refus de nouvelles restrictions à la mise en Open Data des décisions de justice, suppression du droit à la portabilité des données de la loi Numérique...

Avec seulement quinze amendements à examiner, les débats auront été vite expédiés. Et pour cause : les députés ont procédé mardi 10 avril à un large détricotage de la copie rendue par les sénateurs (et sur laquelle aucun compromis n’a été trouvé en commission mixte paritaire).

Les députés n’ont finalement adopté que sept amendements, dont certains à la portée extrêmement mineure.

Parmi les principales modifications apportées au texte voté mardi, on retiendra que les (rares) parlementaires présents dans l’hémicycle se sont ralliés au gouvernement sur la question des algorithmes publics. Ont ainsi été adoptés :

L’amendement prévoyant que la nullité automatique des décisions administratives dépourvues de « mention explicite » ne soit applicable qu’aux décisions prises sur le seul fondement d’un traitement algorithmique (alors que la loi Lemaire vise toutes les décisions dans lesquelles un algorithme est intervenu, par exemple en complément d’une action humaine). Et ce uniquement à compter du 1er juillet 2020.

L’amendement maintenant la « brèche » juridique qui permet à l’administration de ne pas avoir à expliciter, sur demande, le fonctionnement des algorithmes de Parcoursup.

Ces deux amendements ont été votés avec l’avis favorable de la rapporteure Paula Forteza (LREM), qui a néanmoins laissé entendre que le Parlement pourrait rouvrir le dossier Parcoursup « une fois la réforme stabilisée ».

Paula Forteza - Crédits : Assemblée nationale

La dernière modification notable concerne la pré-installation d’application ou de services de type moteur de recherche. Sur proposition d’Éric Bothorel et Cédric Villani (LREM), l’Assemblée a souhaité que « le fait de restreindre indûment, sans justification d’ordre technique, économique ou de sécurité, les possibilités de choix de l’utilisateur final » soit expressément considéré comme un obstacle au consentement de l’utilisateur.

Cette contrariété prévaudra notamment au regard de « la configuration initiale du terminal », précise l’amendement des deux élus de la majorité. « Concrètement, cela signifie que chaque éditeur d’application pourra demander à ce que son application soit configurée par défaut, mais sans pouvoir interdire que des alternatives concurrentes soient également proposées à l’utilisateur, dont certaines sont plus protectrices des données personnelles, expliquent Éric Bothorel et Cédric Villani. En ce sens, chacun pourra conclure des accords d’exposition préférentielle mais sans jamais avoir la garantie qu’il est possible d’évincer ses concurrents. »

Un texte qui ne devrait guère évoluer d'ici son adoption définitive, prévue pour mi-mai

Le projet de loi RGPD va maintenant être transmis au Sénat, où il sera examiné en séance publique jeudi 19 avril. La haute assemblée sait toutefois que son pouvoir d’influence est désormais extrêmement réduit : en lecture définitive, l’Assemblée reprendra le texte adopté aujourd’hui, et ne pourra introduire d’autres amendements que ceux adoptés au Sénat.

En raison des « vacances parlementaires » de printemps (du 23 avril au 6 mai), l’Assemblée ne devrait pas se prononcer avant le 14 mai prochain. Ce qui servira probablement aux sénateurs qui souhaitent déférer ce projet de loi devant le Conseil constitutionnel.