B. LE MAINTIEN DE RÈGLES NATIONALES PROTECTRICES POUR LES DONNÉES SENSIBLES
Dans la mesure où il exploite sans les excéder certaines des marges de manoeuvre ouvertes par le règlement pour maintenir des régimes spéciaux pour les données les plus sensibles, il peut être considéré que le projet de loi ne procède pas stricto sensu à une sur-transposition de celui-ci.
Au surplus, ces dispositions s'inscrivent dans la logique du maintien d'un haut niveau national de protection en la matière souhaité par le Sénat dans les résolutions européennes qu'il a adoptées en 2012 et 2013, sans faire peser des charges supplémentaires sur les PME qui bénéficient des allègements autorisés par le RGPDP.
On observera toutefois que les conditions d'utilisation des traitements publics à des fins de Renseignement, qui ne sont pas traités en tant que tels par les textes européens et les droits afférents des personnes, mériteraient d'être précisés dans la loi.
C. LA QUESTION DE L'ÂGE DU CONSENTEMENT À LA COLLECTE, AU TRAITEMENT ET À L'UTILISATION DES DONNÉES PERSONNELLES
À l'Assemblée nationale, les échanges se sont concentrés pour l'essentiel sur l'âge du consentement, les algorithmes, les moteurs de recherche et la patrimonialisation des données, sans que ces derniers sujets aient emporté de modifications substantielles.
S'agissant de l'âge du consentement autonome des mineurs, le règlement le fixe à 16 ans mais prévoit que les États membres peuvent l'abaisser à 13 ans. L'Assemblée nationale a finalement fixé à 15 ans 23 ( * ) l'âge en deçà duquel le consentement des parents est également requis. Il n'apparaît pas que cette approche mesurée, qui tient compte de la forte appétence des adolescents pour les échanges sur internet et de la nécessité d'une prise de conscience suffisante des risques associés à la communication incontrôlée de données à caractère personnel, puisse être contestée au regard du risque de su-transposition.
D. LE DROIT À RÉPARATION DANS LE CADRE DE L'ACTION DE GROUPE
Comme l'avait souhaité sa commission des affaires européennes, l'Assemblée nationale a introduit la possibilité d'obtenir, dans le cadre d'actions de groupe, non seulement la cessation du manquement aux obligations relatives à la protection des données personnelles 24 ( * ) , mais aussi des réparations pécuniaires.
Cette faculté n'est pas envisagée par le RGPDP, qui ne l'interdit toutefois pas. Elle est d'ailleurs prévue par le droit européen pour les autres actions de groupe, notamment en cas de manquement aux règles de concurrence.
Cette disposition ne constitue probablement pas une sur-transposition stricto sensu mais il serait préférable qu'elle soit introduite au niveau européen.
Par ailleurs, elle devrait probablement être un peu plus encadrée, en particulier par un renforcement des conditions d'enregistrement des associations autorisées à introduire des actions de groupe, auprès de l'autorité de contrôle nationale compétente en matière de protection des données à caractère personnel.
* 23 Dans son rapport d'information n° 577 (15 ème législature), la commission des affaires européennes de l'Assemblée avait proposé 13 ans, à la différence de la commission des lois qui préférait 15 ans.
* 24 Cette faculté existe en droit français depuis la loi n°2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.