Intervention de Soumya Bourouaha

Dans sa délibération d'avril, la Commission nationale de l'informatique et des libertés avait souligné la difficulté de distinguer entre les données personnelles et les données non personnelle, lors de l'intermédiation des données.

De fait, les services d'intermédiation des données traiteront en grande partie des données à caractère personnel à des degrés divers. La Cnil avait donc rappelé à juste titre que la compétence pour identifier le caractère personnel ou non des jeux de données lui revenait.

Elle estimait en conséquence que le projet de loi devait prévoir un mécanisme de consultation préalable et suspensive de la Commission nationale de l'informatique et des libertés avant toute décision de l'Arcep concernant les intermédiaires de données, afin que la Cnil puisse examiner si les services en cause contiennent ou non des données à caractère personnel, et les conséquences qu'il conviendrait d'en tirer concernant l'application du RGPD, le règlement général sur la protection des données.

C'est pourquoi nous proposons que toute décision de l'Arcep concernant les activités d'intermédiation de données soit précédée d'une consultation de la Cnil. En effet, il ne faut pas banaliser l'activité d'intermédiation lorsqu'elle traite principalement des données à caractère personnel, au seul prétexte que ces données constituent potentiellement un marché particulièrement lucratif pour les acteurs économiques.