Les sénateurs ont adopté un amendement pour le projet de loi relatif à la protection des données personnelles, qui adapte en droit français le Règlement général sur la protection des données. Celui-ci impose d'appliquer le chiffrement de bout en bout chaque fois que c'est possible. Mais la survie de cet amendement est incertaine.

Adopté à une très large majorité le 13 février par l’Assemblée nationale, le projet de loi relatif à la protection des données personnelles, qui a pour objectif d’adapter au droit français le Règlement général sur la protection des données, vient d’être adopté par le Sénat le 21 mars. Et d’ores et déjà, quelques différences existent entre la version du texte approuvé par la chambre basse et celle validée par la chambre haute.

Par exemple, les députés et les sénateurs sont en désaccord sur l’âge à partir duquel on considère l’individu comme étant « majeur » dans l’espace numérique, c’est-à-dire l’âge à partir duquel une personne peut donner son consentement (ou le refuser) à la collecte et au traitement de ses données personnelles, sans avoir à demander au préalable la permission d’un tiers, comme un parent.

sénat
CC Pierre Metivier

Autre différence entre les deux versions du texte, le chiffrement de bout en bout. Il s’avère que les sénateurs ont adopté un amendement lors de la discussion publique du 20 mars proposant une obligation « de chiffrer de bout en bout chaque fois que cela est possible ». Comment ? En actualisant l’un des articles de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

.

Il s’agit plus exactement de l’article 34, qui exige du responsable du traitement qu’il prenne « toutes précautions utiles […] pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Pour les sénateurs, le chiffrement de bout en bout fait tout à fait partie des précautions utiles pour sécuriser des données.

Ils proposent d’ajouter à l’article la mention suivante : « cela implique notamment que, chaque fois que cela est possible, les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données ». Ainsi, cela rend « explicite » l’obligation de sécurité du règlement et «  limite considérablement les risques d’intrusion », écrivent les signataires.

Rejet du gouvernement

Sur cet amendement, la rapporteure du projet de loi, Sophie Joissains, et la ministre de la justice, Nicole Belloubet, ont affiché leur divergence. La première a en effet exprimé un avis favorable tandis que la seconde s’y est opposée, estimant que le Règlement général sur la protection des données offre déjà, via son article 32, des mesures adéquates concernant le chiffrement des données.

« L’obligation paraît excessive », a ainsi estimé la Garde des Sceaux. Le Règlement « prévoit que le responsable de traitement et le sous-traitant utilisent des mesures appropriées, dont la pseudonymisation ou le chiffrement des données à caractère personnel. C’est au responsable du traitement, sous le regard de la CNIL, de définir lesquelles le sont » a-t-elle cherché à faire valoir, mais les sénateurs ne l’ont pas suivie.

Maintenant, toute la question est de savoir si cet amendement survivra jusqu’à la fin du parcours législatif. En effet, dans la mesure où il existe deux versions du projet de loi, une commission mixte paritaire, composée de sept députés et de sept sénateurs, va devoir être mise en place pour élaborer une version commune. Quelle vision l’emportera ?

À lire sur Numerama : RGPD  : les 9 principales mesures qui encadreront votre vie numérique

Partager sur les réseaux sociaux