Publié le 18 juin 2021 par : M. Latombe.
I. – Compléter l’alinéa 3 par la phrase suivante :
« Les conventions doivent indiquer précisément le type de missions pour lesquelles les collectes de données pourront être réalisées. »
II. – En conséquence, compléter l’avant-dernière phrase de l’alinéa 5 par les mots :
« après la publication d’un avis de la Commission nationale de l’informatique et des libertés, dans le respect des dispositions relatives aux données personnelles, des droits et des intérêts des plateformes en ligne et des bénéficiaires du service concerné, y compris la protection des informations confidentielles, notamment le secret des affaires, tout en préservant la sécurité des services des plateformes en ligne. »
III. – En conséquence, après l’alinéa 6, insérer l’alinéa suivant :
« Le service mentionné audit premier alinéa peut collecter et exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale les contenus, librement accessibles sur les sites internet des opérateurs de plateforme en ligne mentionnés au 2° du I de l’article L. 111‑7 du code de la consommation, manifestement rendus publics par leurs utilisateurs. L’expérimentation fait l’objet d’une analyse d’impact relative à la protection des données à caractère personnel dont les résultats sont transmis à la Commission nationale de l’informatique et des libertés, dans les conditions prévues à l’article 62 de la loi n° 78‑17 du 6 janvier 1978. Les travaux dudit service sur la base de ces collectes de données font l’objet d’une évaluation annuelle dont les résultats sont transmis au Parlement ainsi qu’à la Commission nationale de l’informatique et des libertés précisant le type de données collectées et les résultats des travaux. »
Cet amendement vise à préciser le dispositif adopté en commission, et à y introduire une méthodologie, garantie de son efficacité, comparable à celle mise en place dans le cadre du mécanisme de collecte de données par le PLF pour 2020.
Il est nécessaire d’être attentif à la proportionnalité de la mesure, et notamment des moyens de collecte, par rapport aux objectifs poursuivis. En effet, le périmètre du dispositif est extrêmement large ; il pourrait être plus pertinent de le limiter aux données publiques et de bénéficier ainsi du cadre réglementaire prévu par le RGPD. En outre, la collecte des données publiquement accessibles devrait s’effectuer dans le cadre d’expertises et de recherche publique au sens de l’article L. 112‑1 du code de la recherche. Si les missions relatives à la recherche publique sont encadrées par des dispositions législatives du code de la recherche, les missions énoncées au premier alinéa de l’article, dont les conditions seront précisées dans le cadre de conventions, ne sont pas suffisamment précises. Les conventions devront pour cela indiquer précisément le type de missions pour lesquelles les collectes de données pourront être réalisées.
L’encadrement du pouvoir conféré au PEReN de collecter les données publiquement accessibles par l’intermédiaire des services des plateformes numériques doit par ailleurs être précisé afin d’apporter les garanties relatives au respect de la protection de ces données au titre de la Directive n° 96/9/CE du 11 mars 1996 concernant la protection juridique des bases de données (cf. art. 5 et art. 7), à la Directive (UE) 2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulguées contre l’obtention, l’utilisation et la divulgation illicite (cf. art. 4 et considérant n° 10) et du Règlement (UE) 2016/679 (RGPD). Sur le modèle des articles 31 et 33 du projet de Digital Services Act, l’accès aux données devrait reposer sur un dispositif de mise à disposition « à la demande » par l’intermédiaire de bases de données en ligne ou d’interfaces de programme d’application et non sur un dispositif de collecte à l’insu de la plateforme concernée ou d’accès forcé à ses bases de données.
L’accès aux données devrait, en outre, être réalisé dans des conditions tenant compte des droits et des intérêts des plateformes en ligne et des bénéficiaires du service concernés, y compris la protection des informations confidentielles, notamment le secret des affaires, et en préservant la sécurité de leur service.
Enfin, il est nécessaire qu’un avis de la Cnil soit publié en amont de la mise en place de cette disposition et qu’une étude d’impact vienne compléter son analyse. En effet, la collecte de données à caractère personnel implique un cadre juridique validé par la Cnil. Pour cette raison, une consultation de l’autorité préalablement à la mise en place de ce dispositif apparaît nécessaire. Son avis sur les mesures introduites par l’article 154 de la Loi de finances pour 2020 avait proposé différentes modifications nécessaires à garantir son efficacité. Elle avait ainsi recommandé la limitation à un périmètre d’expérimentation de 3 ans comprenant un contrôle du Parlement de de la Cnil, l’interdiction de l’utilisation de systèmes de reconnaissance faciale, la suppression des données sensibles et non pertinentes supprimées rapidement (30 jours au plus), et la réalisation d’une étude d’impact. Une évaluation annuelle transmise au Parlement et à la Cnil, précisant le type de données collectées et les résultats des travaux, permettra d’assurer son efficacité.
Aucun commentaire n'a encore été formulé sur cet amendement.