Intervention de Bruno Bonnell

Séance en hémicycle du mercredi 7 février 2018 à 21h30
Protection des données personnelles — Avant l'article 14 a

Photo issue du site de l'Assemblée nationale ou de WikipediaBruno Bonnell :

L'auteure de ces deux amendements est Mme Brocard.

Chers collègues, savez-vous combien de fois, chaque jour, vos données personnelles, votre géolocalisation, votre adresse IP, vos goûts, vos opinions, votre situation familiale sont traités, malaxés, enrichis, extraits, pour vous délivrer une publicité, vous cibler ou vous envoyer un courriel ? C'est fait en toute légalité, car, vous ne le savez pas, mais vous avez donné votre consentement. Avez-vous compté le nombre de messages non désirés, de spams, qui envahissent votre boîte de réception ? Vous ne le savez pas, mais vous avez donné votre consentement.

En effet, pour obtenir discrètement votre consentement, les opérateurs usent d'artifices toujours plus élaborés. On vous demande de cliquer sur de gros boutons – « valider », « je m'inscris », « j'achète » – , suivis de petites lignes illisibles et alambiquées indiquant : « en m'inscrivant, j'accepte… ». Beaucoup plus bas, sur la même page, figure une phrase encore plus illisible, qui vous propose de refuser le traitement de vos données. Mais vous ne la voyez jamais, puisqu'elle a disparu quand vous avez cliqué sur le gros bouton.

Par cet amendement, nous proposons que l'action permettant de recueillir le consentement volontaire prévue par le RGPD n'ait aucune autre finalité. Ce consentement ne doit pas être dilué dans d'autres considérations. Il doit être possible de lire le formulaire jusqu'au bout avant de passer à une autre page. Le consentement ne doit pas être extorqué par un artifice.

Au titre du RGPD, le consentement est donné par un acte positif clair. Nous souhaitons que celui-ci ne génère aucune autre action, et qu'une case cochée puisse être décochée avant de passer à autre chose.

J'en viens à l'amendement no 92 . Le RGPD définit ainsi les bases d'obtention du consentement : « toute manifestation de volonté libre spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». En 2004, la loi pour la confiance dans l'économie numérique donnait déjà une définition similaire : on entend par consentement « toute manifestation de volonté libre, spécifique et informée ».

Ces formulations ne sont que des bases de travail, tant pour les opérateurs que pour la CNIL. Il me semble nécessaire de préciser ce qu'il est possible de faire et ce qu'il convient de ne pas faire pour être en accord avec ces principes, afin de protéger non seulement les personnes concernées, puisque les opérateurs, comme c'est le cas depuis la loi pour la confiance dans l'économie numérique, n'ont de cesse de trouver des artifices pour contourner ces principes et obtenir les consentements, mais également les opérateurs eux-mêmes, qui ont besoin d'avoir la certitude que leur méthode de recueil de consentements ne sera pas sanctionnée, le RGPD les obligeant à conserver des traces de cette méthode pour un contrôle éventuel.

Nous proposons donc que la CNIL, en s'appuyant sur son travail au sein du G29 ainsi que sur l'observation des plaintes et sur l'expérience de ses nouveaux pouvoirs de contrôle et de sanction, établisse une norme qui définisse clairement les principes d'obtention du consentement, et que cette norme soit révisée afin de tenir compte de la jurisprudence, des nouvelles pratiques et des nouvelles technologies.

Aucun commentaire n'a encore été formulé sur cette intervention.

Cette législature étant désormais achevée, les commentaires sont désactivés.
Vous pouvez commenter les travaux des nouveaux députés sur le NosDéputés.fr de la législature en cours.