Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 102

19 mars 2018
 

AMENDEMENT

présenté par
C Favorable
G Favorable
Adopté

Le Gouvernement

ARTICLE 17 BIS

Rédiger ainsi cet article :

En application de l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final dans les conditions définies au 11 de l’article 4 du même règlement.

Objet

Le présent amendement concilie le souhait des parlementaires de donner sa pleine efficacité au consentement prévu par le Règlement, dans le cas notamment des terminaux mobiles, et le respect des normes européennes et nationales.

En effet, la rédaction actuelle du 17 bis porte atteinte à la liberté contractuelle puisqu’elle interdirait à tout éditeur d’application de conclure un accord avec un fabricant de smartphone pour une exposition préférentielle de son application (affichage par défaut), notamment des accords avec partage de rémunération, présentant un intérêt pour les deux parties. Elle est également susceptible, par les charges qu’elle ferait peser sur les entreprises de porter atteinte à la libre prestation des services.

En outre, au plan concurrentiel, cette rédaction qui a une portée générale et symétrique, s’appliquerait aux applications de Google comme à celle d’un éditeur nouvel entrant, qui ne pourrait conclure un accord d’exposition préférentielle avec un fabricant de smartphone, alors même que cet accord pourrait l’aider à entrer sur le marché et aurait donc des effets pro-concurrentiels.

Le présent amendement s’appuie sur le considérant 78 du règlement selon lequel : « La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. (…) Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. »

En délimitant clairement le champ d’application (traitements fondés sur le consentement et responsable de traitement, couvert par le règlement, à l’exclusion des tiers), la rédaction s’inscrit aussi dans la logique de responsabilisation du Règlement, en abandonnant la sanction a priori du contrat, au profit de l’obligation pour le responsable d’être en mesure de démontrer les mesures qu’il prend pour se conformer aux obligations en matière de consentement.