Daniel Fasquelle
Question N° 11604 au Secrétariat d'état au numérique
Question soumise le 7 août 2018
M. Daniel Fasquelle attire l'attention de M. le secrétaire d'État, auprès du Premier ministre, chargé du numérique, sur le contrôle effectif que le ministère entend effectuer sur les courtiers de données. Il constate que l'économie numérique ayant pour principale ressource économique la donnée, de nouveaux acteurs économiques sont apparus sans qu'une réelle régulation ait été mise en place. Les courtiers de données (ou data brokers) pèseront fin 2018 un chiffre d'affaires de plus de 150 milliards d'euros dans le monde. Si le règlement général sur la protection des données personnelles de 2016 peut être lu comme une avancée dans la protection des données personnelles, aucune loi spécifique n'encadre ces activités. Aucun droit de regard des citoyens, des sociétés ou des institutions n'est possible sur ces données, or il apparaît particulièrement opportun de s'interroger sur l'adoption d'un cadre législatif utile et efficace. Le député rappelle que les récentes révélations sur l'affaire Cambridge Analytica, mais aussi Axciom ou Epsilom, ne doivent ainsi pas faire oublier aux citoyens que le risque est présent également en France. Il pointe ainsi l'absence de réelles mesures permettant de rétablir une déontologie dans ce secteur économique, sans lesquelles les démocraties occidentales sont désormais exposées à un danger. Ainsi, il souhaite connaître les mesures par lesquelles le ministère entend lutter contre les dérives possibles des courtiers de données (contrôle citoyen renforcé, obligation d'obtention d'un agrément).
Réponse émise le 18 février 2020
Le règlement (UE) N° 2016/679 du 27 avril 2016 (« RGDP ») établit le régime général de protection des données à caractère personnel en Europe. Il s'applique à toute activité de traitement de données personnelles accomplie dans un cadre professionnel ou commercial. A ce titre, les exigences posées par le règlement, avec lequel le droit national a été mis en conformité par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, sont directement opposables aux activités de courtage de données. Le Gouvernement ne juge pas utile de prévoir au-delà un régime spécifique à ce type d'activités dans la mesure où le niveau d'exigences fixé par le RGDP est élevé : les principes de recueil du consentement préalable, d'information sur les finalités et les destinataires des données, le respect des droits des usagers (opposition, droit à l'oubli, effacement, par exemple) s'appliquent à ce type d'activités. Au demeurant, les activités de « courtage » de données au sens strict doivent être appréhendées dans l'ensemble bien plus vaste des services de traçage et de profiling offerts par de nombreuses autres entreprises. La Commission nationale de l‘informatique et des libertés est l'autorité indépendante chargée de contrôler la mise en œuvre du règlement par les entreprises concernées sur le territoire national. Depuis deux ans, le Gouvernement a substantiellement renforcé les moyens de la CNIL.
Aucun commentaire n'a encore été formulé sur cette question.