Question de M. BASQUIN Alexandre (Nord - CRCE-K) publiée le 17/04/2025
M. Alexandre Basquin attire l'attention de Mme la ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée de l'intelligence artificielle et du numérique sur la nécessaire protection des données personnelles en ligne de nos concitoyens.
Vinted, Le Bon Coin.... La simple utilisation de dizaines d'applications grand public permet à des courtiers en données de récupérer les coordonnées géographiques et, parfois aussi, les heures de connexion de millions d'utilisateurs, comme l'a, notamment montré l'enquête du journal Le Monde, en partenariat avec plusieurs médias. Ces courtiers, appelées les « data brokers » vendent ces données aux plus offrants, dans des conditions opaques, à des fins publicitaires. Il s'agit de collectes massives, avec des données parfois partagées directement par les applications, que la plupart des utilisateurs ne soupçonnent pas. Et pour cause : lorsqu'ils installent une application, les éléments qui sont soumis aux utilisateurs éclairent rarement leur choix. Surtout lorsque la liste des prestataires à qui leurs données peuvent être envoyées comptent plusieurs centaines de noms... Certes, il existe le Règlement général sur la protection des données personnelles (RGPD), le texte de référence au niveau européen sur cette question, que la Commission nationale de l'informatique et des libertés (CNIL) est censée faire appliquer.
Mais, visiblement, cette réglementation est insuffisante pour protéger réellement les données personnelles de nos concitoyens. Il lui demande donc ce que le Gouvernement compte faire pour juguler ces dérives et mettre en place un système efficace en matière de protection des données personnelles des utilisateurs d'applications.
- page 1870
Transmise au Ministère de la justice
Réponse du Ministère de la justice publiée le 21/08/2025
Le Règlement général sur la protection des données (« RGPD ») impose que les données à caractère personnel soient « traités de manière licite, loyale et transparente au regard de la personne concernée », « collectées pour des finalités déterminées, explicites et légitimes », et « traitées de façon à garantir une sécurité appropriée » (article 5). Dès lors, le consentement de tout utilisateur doit être libre, spécifique, éclairé et univoque, au préalable de toute prospection. L'article L34-5 du code des postes et des communications électroniques rappelle également cette obligation de consentement avant l'envoi de prospection électronique, par email, ou sms. Dès lors, chaque entreprise est tenue de présenter une notice d'information complète relative à la gestion des données personnelles et des droits, ainsi qu'un moyen permettant de vérifier le consentement et/ou l'opposition du client à un tel traitement de données. A l'échelle nationale, la Commission Nationale de l'Informatique et des Libertés (CNIL), aide et accompagne le développement d'applications protectrices des données personnelles de leurs clients/utilisateurs. De ce fait, elle a développé plusieurs fiches pratiques portant sur les règles de transmission de données (2018), de prospection commerciale par courrier électronique (2022), et de vente de fichiers clients (2022). La CNIL a également publié des recommandations spécifiques aux applications mobiles, exigeant notamment que le « consentement soit éclairé et non contraint », dont découlera une campagne de contrôle dédiée en 2025. Elle mène aussi des actions de sensibilisation spécifiques à l'égard des entreprises. En plus de son activité d'accompagnement, la CNIL veille continuellement à garantir la collecte effective du consentement, en sanctionnant toutes violations. Pour ne citer que quelques exemples, la Commission a sanctionné Brico Privé pour des emails de prospections sans consentement préalable (délibération n° SAN-2021-008), Monsanto pour fichage et collecte illégal de données personnelles (délibération n° SAN-2021-012) et, plus récemment, Hubside.store, un distributeur de produits reconditionnés pour avoir utilisé, à des fins de prospection commerciale, des données fournies par des courtiers en données, sans consentement préalable (délibération SAN-2024-004). Au niveau européen, au-delà du RGPD, le Data Governance Act, applicable depuis septembre 2023, encadre également les pratiques des fournisseurs de services d'intermédiation de données en intégrant des garanties renforcées. Les fournisseurs doivent informer et conseiller de manière concise, transparente, compréhensible et aisément accessible les personnes concernées sur la réutilisation et sécurité de leurs données. Le Gouvernement entend mettre pleinement en oeuvre les cadres existants et finaliser les négociations du complément procédural du Règlement général sur la protection des données afin de permettre que les autorités de protection des données mettent pleinement en oeuvre le RGPD.
- page 4625
Page mise à jour le