En 2016, l’Union européenne a adopté deux textes fondamentaux en matière de protection des données. Le plus connu de ces deux textes est le règlement général sur la protection des données (RGPD). Dès le 25 mai prochain, il imposera des obligations précises à toute personne qui exploite les données personnelles d’Européens. Toutefois, par exception, ces obligations ne s’imposeront pas aux activités qui, mises en œuvre pour le compte de l’État, visent à lutter contre les infractions. Cette lutte contre les infractions est, elle, encadrée par un second texte : la directive 2016/680. Contrairement au RGPD, cette directive ne prévoit que des principes généraux que les États membres devront traduire dans leur droit national en règles précises. Ils ont jusqu’au 6 mai pour faire cette transposition.

Le projet de loi examiné mardi par l’Assemblée nationale poursuit deux objectifs : adapter le droit français en prévision de l’entrée en application du RGPD (afin de corriger certaines incohérences entre le droit français existant et le RGPD, par exemple) et traduire les principes de la directive 2016/680 en règles précises dans le droit français. La Quadrature du Net a fait parvenir six amendements aux députés examinant ce projet.

Cinq de ces amendements concernent le RGPD et visent à :

faciliter les actions de groupe, en prévoyant que les personnes (notamment les entreprises) sanctionnées remboursent à l’association les frais engagés pour porter l’action ;
exiger que les données soient chiffrées de bout en bout chaque fois que cela est possible ;
préciser dans la loi le caractère libre du consentement ;
concilier de façon cohérente la liberté d’expression et la protection des données personnelles, notamment en intégrant la jurisprudence de la Cour européenne des droits de l’homme (CEDH) qui instaure le critère de « contribution à un débat d’intérêt général » pour autoriser la publication de données ;
renforcer la protection des données sensibles, en corrigeant des imprécisions du RGPD, en intégrant des positions de la CNIL et en corrigeant le projet de loi.
Le sixième amendement, plus complexe, concerne l’intégration en droit français de la directive 2016/680 au regard des activités de renseignement. En effet, les pouvoirs donnés aux services français par la loi renseignement de 2015 rentrent directement dans le champ des activités visées par cette directive et doivent donc y être conformes. Or, ce n’est pas le cas sur de nombreux points, ce que La Quadrature propose de corriger afin que :

les personnes qui font l’objet d’une mesure de surveillance en soient informées dès que cette mesure prend fin, ou ultérieurement si cela met en péril l’objectif qui a initialement motivé la mesure (actuellement, ces personnes n’ont absolument aucune façon d’être informées des mesures subies, ce qu’exige pourtant la directive) ;
la Commission nationale de contrôle des techniques de renseignement (CNCTR) ait accès aux renseignements transmis aux services français par des services étrangers, afin de vérifier que ceux-ci sont licitement exploités (ce que la CNCTR ne peut pas faire aujourd’hui, alors que la directive l’exige) ;
tout particulier puisse saisir une juridiction pour contester la licéité d’une mesure de surveillance dont il pense faire l’objet (ce qu’exige la directive mais que le droit français ne prévoit pas s’agissant des mesures de surveillance internationale, menée en particulier par la DGSE) ;
les services français ne puissent transmettre ou collecter des renseignements auprès d’autres services, français ou étrangers, qu’en respectant les mêmes conditions que pour la mise en œuvre d’une technique de recueil de renseignement, et sous le contrôle de la CNCTR (ce qui n’est pas le cas aujourd’hui).

La Quadrature du Net est une association qui défend nos droits et libertés fondamentales à l’ère du numérique et propose des alternatives pour un internet libre, décentralisé et émancipateur.

Nous cherchons à mettre ces objectifs en œuvre par :

une veille et une analyse juridique et politique sur les sujets concernant le numérique, afin d’alerter et d’informer nos concitoyens mais aussi d’interpeller les décideurs politiques ;
la publication de communiqués de presse et autres textes mais aussi des interventions dans les médias ou la participation à des événements d’information, afin d’aider nos concitoyens dans le décryptage de l’actualité ;
le développement d’outils pratiques et militants pour défendre en acte notre vision des libertés dans le monde numérique ;
l’organisation d’ateliers et de rencontres, parfois en commun avec d’autres associations, afin de construire et défendre ensemble l’Internet dont nous rêvons ;
des actions et campagnes de sensibilisation et de mobilisation pour lutter pied à pied, afin que les polices d’État et les industries qui exploitent nos données ne transforment pas définitivement nos vies en parc d’attraction surveillé.

Journal officiel de l’Union européenne