Direction de la séance |
Projet de loi Protection des données personnelles (Nouvelle lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 442 , 441 ) |
N° 7 rect. 19 avril 2018 |
AMENDEMENTprésenté par |
|
||||||||
M. MALHURET, Mme DEROMEDI, M. BONHOMME et les membres du groupe Les Indépendants - République et Territoires ARTICLE 14 BIS |
Compléter cet article par un paragraphe ainsi rédigé :
… – La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 7-… ainsi rédigé :
« Art. 7-…. – En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de seize ans.
« Lorsque le mineur est âgé de moins de seize ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard de ce mineur.
« Le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de quinze jours.
« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles s’exerce ce consentement conjoint. »
Objet
Sans revenir sur la décision de la commission de maintenir l'âge du consentement à 16 ans, cet amendement vise à mieux encadrer la procédure de consentement conjoint prévue dans le RGPD (Pour rappel, Article 8: "Ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant").
En effet, le RGPD est très flou en la matière, son article 8 disposant que "le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles".
Que signifie la notion d'"effort raisonnable" ? Comment évaluer les "moyens technologiquement disponibles", qui ne sont pas les mêmes pour l'ensemble des entreprises au même moment ?
La loi américaine, notamment le Children's Online Privacy Protection Act of 1998 (COPPA), est paradoxalement beaucoup plus précise et protectrice en matière de consentement parental.
Sans faire peser un fardeau normatif trop lourd sur les responsables de traitement, la procédure de consentement conjoint devrait ainsi être mieux définie en droit français, pour mieux protéger à la fois les mineurs et les titulaires de l'autorité parentale. C'est l'objet du présent amendement, en deux temps :
1/ Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, devra préciser les conditions dans lesquelles s’exerce ce consentement conjoint (informations à communiquer, procédure à suivre pour obtenir l'effacement des données etc...).
2/ Il prévoit que le responsable de traitement efface l’ensemble des données personnelles collectées lors de la procédure de consentement conjoint si ledit consentement n’est pas donné dans un délai de 15 jours. En effet, des données personnelles à la fois des parents et du mineur pourront être recueillies lors de cette procédure, que l'entreprise n'a aucune raison de conserver si ce consentement n'est pas, in fine, donné.