Proposition de loi Protection des savoir-faire et des informations commerciales
Séance publique du 18 avril 2018 (après-midi)
Proposition de loi Protection des savoir-faire et des informations commerciales
La parole est à Mme Sylvie Robert.
Mme Sylvie Robert. Cet amendement tend à mentionner explicitement que le secret des affaires ne peut concerner les données personnelles utilisées par les entreprises pour effectuer un « profilage privé à des fins lucratives ».
Si les entreprises ont droit au « secret des affaires », les citoyennes et citoyens ont droit au « secret de leur vie privée et familiale », en vertu de l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
Chacun a en tête – nous en avons parlé à propos du RGPD, le règlement général sur la protection des données, de l’Union européenne – le dernier scandale en date impliquant Facebook et Cambridge Analytica, qui ont récupéré sans leur consentement les données de 50 millions d’utilisateurs. Nous serons tous d’accord pour indiquer que ni cette pratique ni les données recueillies ne constituent des savoir-faire qui légitiment une protection au titre du secret des affaires.
En conséquence, et cela va de soi, nous proposons de l’inscrire dans notre droit par la mention selon laquelle ne sont pas protégées au titre du secret des affaires les informations relatives à des données personnelles utilisées pour effectuer un profilage privé à des fins lucratives.
M le président. Quel est l’avis de la commission ?
Christophe-André Frassa,rapporteur.Cet amendement traite de deux questions : les données personnelles dans le cadre du secret des affaires et l’exploitation de ces données à des fins de profilage commercial.
D’une part, compte tenu de la définition du secret des affaires, il est évident que des données personnelles en tant que telles ne peuvent pas être considérées comme des informations susceptibles d’être protégées par le secret des affaires au bénéfice de l’entreprise. Le considérant 35 de la directive précise bien que le secret des affaires ne peut pas conduire à porter atteinte à la protection des données personnelles.
D’autre part, le RGPD définit le profilage à partir des données personnelles et interdit de fonder des décisions sur la base exclusive d’un traitement de données de ce type, sauf lorsque ces traitements sont nécessaires à la conclusion ou à l’exécution d’un contrat – cela vise en particulier le crédit et l’assurance –, sous le contrôle des autorités compétentes.
Dans ces conditions, je ne saisis pas très bien l’objectif recherché au travers de l’amendement : soit le traitement de données est conforme au RGPD, soit il ne l’est pas, mais dans tous les cas cela n’a pas grand-chose à voir avec la question du secret des affaires. En tout état de cause, le texte prévoit que le secret n’est pas opposable aux autorités administratives dans leurs missions de contrôle, ce qui s’appliquera notamment à la CNIL.
L’avis est par conséquent défavorable.
M le président.Quel est l’avis du Gouvernement ?
Mme Nicole Belloubet,garde des sceaux. Le profilage est défini dans le RGPD comme une forme de traitement automatisé de données à caractère personnel qui consiste à utiliser ces données pour évaluer le profil de personnes physiques en matière de goûts, d’intérêts personnels, de santé, etc. Ces profilages peuvent être utilisés dans différents domaines, par exemple en matière de crédits, de mutuelles, de location de véhicules. Mais de telles pratiques sont rigoureusement encadrées, comme l’a dit M. le rapporteur, par l’article 22 du RGPD, qui interdit toute décision fondée exclusivement sur un traitement automatisé ou sur des données sensibles. Ces garanties sont d’ailleurs retranscrites dans le projet de loi que je vous présenterai demain.
En outre, la directive du 8 juin 2016 relative au secret des affaires prévoit elle-même l’articulation entre droit au respect de la vie privée et familiale, droit à la protection des données à caractère personnel et secret des affaires. Il en résulte que le secret des affaires peut couvrir les données à caractère personnel, mais uniquement si les droits de la personne concernée relatifs à ces données ne sont pas affectés. Autrement dit, le secret des affaires n’est pas opposable si les exigences du RGPD, telles que le droit à l’information, le droit d’accès, le droit de rectification, d’effacement, de limitation, etc., ne sont pas respectées pas l’entité utilisant une technique de profilage.
L’interdiction prévue dans l’amendement apparaît donc contraire à la directive et disproportionnée. L’avis est par conséquent défavorable.