ACTUALITES

05-03-2018

 

RGPD - Adoption du projet de loi relatif à la protection

des données personnelles

Le 13 février 2017, l’Assemblée nationale a adopté le projet de loi relatif à la protection des données personnelles du 13 décembre 2017.

Ce projet de loi a pour objet la mise en conformité du droit national avec le « paquet européen de protection des données » adopté par la Parlement européen et le Conseil le 27 avril 2016. Ce « paquet européen » est composé du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »), applicable à compter du 25 mai 2018, ainsi que de la Directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’ exécution de sanctions pénales, qui doit être transposée en droit national d’ici le 6 mai 2018.

Ce projet de loi vise à modifier la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « Loi Informatique et Libertés ». Il n’inclut cependant que les seules modifications indispensables à la mise en conformité du droit national au droit européen, la réécriture de l’ensemble de la loi du 6 janvier 1978 étant renvoyée à une ordonnance ultérieure.

Ce projet de loi comprend :

  • un titre I relatif aux dispositions communes du RGPD et de la Directive ; 

  • un titre II qui traite des différentes marges de manœuvres laissées par le RGPD aux Etats membres ;

  • un titre III qui concerne les dispositions portant transposition de la Directive ;

  • un titre IV dont l’objet est de prévoir une habilitation pour améliorer l’intelligibilité de la législation applicable à la protection des données ;

  • un titre V contenant des dispositions diverses.

Plus précisément, le titre I prévoit le cadre d’intervention des agents et membres de la Commission Nationale de l’Informatique et des Libertés (ci-après la « CNIL ») en cas de contrôle de la mise en œuvre de traitements. Est notamment prévue la possibilité pour la CNIL d’utiliser une identité d’emprunt lors du contrôle. En outre, la procédure de coopération entre la CNIL et les autres autorités de contrôle des autres Etats de l’Union européenne est précisée. Le projet de loi prend également acte de l’élargissement du champ des données sensibles opéré par le RGPD en ajoutant les données génétiques, biométriques et concernant l’orientation sexuelle des personnes.

Le titre II régit de nombreux points pour lesquels le RGPD a laissé une marge de manœuvre aux Etats. La CNIL a salué cette mise à profit judicieuse des marges de manœuvres laissées aux Etats.

  • Ainsi, des précisions sont apportées sur l’âge à partir duquel un mineur peut consentir à un traitement de données à caractère personnel, qui est fixé à 15 ans.

  • En outre, le champ de la catégorie de responsables de traitement pouvant effectuer un traitement de données relatives à des infractions et des condamnations pénales est élargi.

  • Concernant la suppression des formalités préalables au traitement, le projet de loi précise que celles-ci seront maintenus pour les traitements nécessitant l’utilisation d’un numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR), plus communément appelé numéro de sécurité sociale.

  • De plus, des dispositions particulières pour les traitements à des fins de recherche d’étude ou d’évaluation dans le domaine de la santé sont prévues.

  • Le projet de loi prévoit que l’action de groupe prévue par le RGPD pourra être exercée soit en vue de la cessation du ou des manquements (ce qui est déjà possible depuis la loi de modernisation de la justice du 18 novembre 2016), soit en vue de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, ce qui constitue une nouveauté.

  • Une nouvelle voie de recours de la CNIL est également introduite au sujet de la validité des décisions de la Commission européenne autorisant le transfert de données vers des Etats non membres de l’Union européenne. En cas d’interrogation sur ce point, la CNIL pourra saisir le Conseil d’Etat qui devra saisir la Cour de Justice de l’Union Européenne (ci-après la « CJUE ») à titre préjudiciel de cette question. Cette disposition fait suite à l’arrêt de la CJUE du 6 octobre 2015 C362-14 par lequel la Cour a invalidé la décision « Safe Harbor » de la Commission européenne.

La prochaine étape est l’examen le 20 mars prochain par le Sénat de ce projet de loi.

La CNIL a approuvé la démarche opérée par le gouvernement dans ce projet de loi qui a procédé à l’harmonisation requise par le nouveau « Paquet européen » sur les données personnelles et maintenu les dérogations nationales seulement lorsque celles-ci étaient réellement justifiées.

Elle déplore cependant l’adoption tardive de ce projet de loi et souligne « le risque réel de non-respect des délais de mise en œuvre du « paquet européen »» [Délibération n°2017-299 du 30 novembre 2017 portant avis sur un projet de loi d’adaptation du droit de l’Union européenne de la loi n°78-17 du 6 janvier 1978]. Elle dénonce également le choix opéré par le gouvernement de ne procéder qu’aux modifications essentielles renvoyant la réécriture d’ensemble de la loi Informatique et Libertés à une ordonnance ultérieure qui engendre, selon elle, un manque de lisibilité de l’état actuel du droit. Enfin, elle regrette que le projet de loi n’ait pas profité de cette occasion pour procéder à certains approfondissements des droits des personnes.

A quelques semaines de l’entrée en vigueur du RGPD, de nombreuses questions relatives aux conditions d’application des dispositions du RGPD restent encore en suspens (interprétation des notions de « grande échelle », de « risques élevés », liste des cas de recours obligatoires aux études d’impact, etc.) et gênent les acteurs dans leur travail de mise en conformité.

Notamment au vu du retard pris dans l’adoption de textes nationaux intégrant la nouvelle règlementation européenne en droit français, la CNIL a annoncé qu’elle ferait preuve de souplesse les premières semaines suivants l’entrée en application du RGPD. Cette souplesse vaudra certainement pour la mise en place des nouveautés introduites par le RGPD, tel que le droit à la portabilité. Cependant, il importe de souligner que cette souplesse ne sera sans doute pas de mise s’agissant des règles et principes qui devaient déjà être respectés sous l’égide de la règlementation actuelle et auxquels le RGPD n’apporte aucune modification.

 

Carole Couson-Warlop, avocat, ARTLEX, Nantes

Florence Fekom, avocat, ARTLEX Nantes

 

Projet de loi du 13 décembre 2017, Droit des données personnelles, droit du numérique, RGPD, GDPR, Mise en conformité, Règlement européen, Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, Données personnelles, Données à caractère personnel, actualités juridiques, veille juridique