Logo : Sénat français

commission des lois

Projet de loi

Protection des données personnelles

(1ère lecture)

(n° 296 )

N° COM-14

12 mars 2018
 

AMENDEMENT

présenté par
Adopté

M. RAYNAL

ARTICLE ADDITIONNEL APRÈS ARTICLE 17

Après l'article 17

Insérer un article additionnel ainsi rédigé :

En application de l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, toute clause contractuelle liant un responsable de traitement et un tiers est nulle lorsqu’elle a pour effet de contraindre ce tiers à ne pas mettre en œuvre, notamment lors de la configuration d’un terminal, toutes les conditions du consentement de l’utilisateur final tel qu’il est défini à l’article 4.11 du règlement (UE) 2016/679.

La mise en œuvre de ces conditions peut notamment consister à proposer à l’utilisateur final le choix entre différents services de communication au public en ligne de nature équivalente et dans des conditions d’utilisation équivalentes, pour lesquels peuvent différer les mesures techniques et organisationnelles de protection des données mises en œuvre par le responsable de traitement en application de l’article 25 du règlement (UE) 2016/679.

 

Objet

Cet amendement vise à garantir que les utilisateurs d’un terminal puissent avoir le choix de services équivalents offrant de meilleures garanties de protection des données personnelles, lorsque des services de communication au public en ligne sont préinstallés.

 

La définition du consentement donnée à l’article 4.11 du règlement général sur la protection des données (RGPD) rappelle que celui-ci doit être « libre », ce qui suppose l’existence d’un choix réel. Ainsi le considérant 42 du RGPD précise que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ». Le groupe de l’article 29 (G29) souligne également dans ses Lignes Directrices sur le Consentement adoptées le 28 novembre 2017 que « si les personnes concernées n’ont pas de véritable choix, se sentent contraintes de consentir, ou endureront des conséquences négatives si elles ne consentent pas, alors le consentement ne sera pas valide ».

 

Dans de nombreux cas, le choix proposé à l’utilisateur final est pourtant limité à l’acceptation ou au refus des traitements de données proposés, avec comme conséquence en cas de refus la désactivation totale ou partielle des fonctionnalités prévues, sous le prétexte d’une incapacité technique de rendre le service souhaité sans traitement de données personnelles. C’est notamment le cas de moteurs de recherche préinstallés sur les téléphones mobiles, qu’il est souvent impossible de désinstaller et de remplacer par une alternative.

En effet, la quasi-totalité des smartphones commercialisés en France et en Europe sont équipés d’un système d’exploitation mobile qui impose par défaut le même moteur de recherche à leurs utilisateurs à travers tous les points d’entrée de recherche (navigateur, barre de recherche, assistant vocal…).  Par l’effet de clauses insérées dans des contrats type liés au système Android, les fabricants et distributeurs de terminaux mobiles qui souhaitent utiliser ce système d’exploitation et donner accès à son indispensable écosystème d’applications n’ont pas d’autres choix que d’installer par défaut ce moteur de recherche sur tous les points d’entrée possibles, sans offrir la possibilité d’en choisir un autre.

 

Ce moteur de recherche collecte, conserve et analyse l’intégralité des requêtes de chaque individu. Or le niveau d’intrusion dans la vie privée que permet un tel traitement de données collectées par un moteur de recherche utilisé quotidiennement par des dizaines de millions de Français est considérable et impose d’offrir toutes les conditions d’un consentement véritable.

 

L’article 25 du RGPD demande aux responsables de traitement de prendre des mesures techniques et organisationnelles appropriées à une meilleure protection des données, tout en laissant en pratique une marge d’appréciation aux responsables de traitement. Des services proposant des fonctionnalités équivalentes peuvent donc être conçus avec des mesures techniques et organisationnelles différentes, notamment de minimisation des données. C’est déjà le cas par exemple de moteurs de recherche alternatifs qui offrent des fonctionnalités équivalentes mais ne collectent pas de données liées aux recherches de leurs utilisateurs, lesquelles peuvent souvent révéler des informations intimes et sensibles.

 

Afin d’assurer le caractère libre du consentement donné au traitement de données personnelles, il importe donc que de telles alternatives puissent être proposées aux utilisateurs lorsqu’elles existent. Il est impératif dès lors que des clauses contractuelles ne puissent pas faire obstacle à la proposition de choix offrant une meilleure protection des données personnelles.