Le projet de loi relatif à la protection des données personnelles

Le projet de loi relatif à la protection des données personnelles a été présenté le 13 décembre 2017 en Conseil des ministres. Ce texte vise à permettre la mise en œuvre concrète du Règlement européen et de la Directive du 27 avril 2016.

La réforme de la protection des données personnelles

Le développement du numérique a nécessité de repenser au niveau européen, le cadre applicable aux données personnelles, à travers une réforme constituée d’un « pack » données personnelles.

Ce pack comprend d’une part, le règlement général sur la protection des données (RGPD n°2016/679) et d’autre part, la directive relative à la protection des données à caractère personnel à des fins répressives (Directive 2016/680), tous deux adoptés le 14 avril 2016 par le Parlement européen.

Ces deux textes qui mettent en place un cadre unifié et protecteur pour les données personnelles en Europe, modifient profondément les règles relatives à l’environnement digital des entreprises et de leurs sous-traitants.

A la lumière de ces deux textes qui entreront en vigueur le 25 mai 2018, il convenait d’adapter notre droit national au nouveau cadre européen.

En effet, si en théorie, un règlement est directement applicable en droit national, en l’espèce, les deux textes précités nécessitaient néanmoins la révision de la loi Informatique et libertés du 6 janvier 1978 afin d’abroger les dispositions incompatibles ou redondantes et d’adopter des dispositions nouvelles prévues par le règlement européen.

Le projet de loi d’adaptation au droit de l’Union européenne de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés présenté le mercredi 13 décembre dernier en conseil des ministres par le Ministre de la Justice des Sceaux Madame Nicole Belloubet, opère cette remise à niveau de la loi.

Il a été présenté par le Garde des Sceaux comme « le fruit d’un travail étroit avec le Secrétaire d’Etat au numérique, Mounir Mahjoubi ».

Les avancées du projet de loi relatif à la protection des données personnelles

Il comporte des avancées qualifiées de majeures par la Chancellerie. D’une part, il crée un cadre très protecteur des données personnelles pour l’ensemble des européens notamment au niveau civil et commercial puisque ses nouvelles dispositions seront applicables à l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation.

Il instaure également de nouveaux droits pour les personnes en Europe (droit à l’oubli, droit à la portabilité, actions collectives, etc.) destinés à renforcer la confiance des citoyens dans l’utilisation qui est faite de leur données, tout en permettant de donner aux opérateurs économiques un environnement attractif. Selon la Chancellerie, « Ce cadre juridique sécurisé permettra ainsi de renforcer la confiance des citoyens dans l’utilisation qui est faite de leurs données personnelles ».

D’autre part, il simplifie les règles auxquelles sont soumis les acteurs économiques tout en maintenant un haut niveau de protection pour les citoyens. Ainsi, le projet de loi supprime en toute logique les formalités déclaratives et le remplace par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques causés par son traitement. En contrepartie de la simplification des normes, les pouvoirs de la Cnil sont renforcés et les sanctions encourues sont considérablement augmentées (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé).

Les marges de manœuvres du projet de loi relatif à la protection des données personnelles

Dans le cadre des marges de manœuvre qui sont permises par le règlement européen, la France a souhaité maintenir un certain nombre de dérogations qui vont permettre de garder un contrôle quant il s’agit de données sensibles.

Le projet de loi relatif à la protection des données personnelles conserve un régime d’autorisation préalable pour le traitement des données les plus sensibles par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, ou ceux utilisant le numéro de sécurité sociale.

De même, le traitement des données de santé continuera à faire l’objet d’un encadrement spécifique. Il ne s’agira pas un encadrement qui passera par une autorisation préalable de la Cnil mais le traitement devra être conforme à un référentiel méthodologique qui aura été adopté conjointement par la Cnil et par l’institut national des données de santé.

Autre exemple d’un traitement spécifique, celui des mineurs de moins de 16 ans qui seront « en théorie » mieux protégés. Il nécessitera l’autorisation des titulaires de l’autorité parentale pour que les données personnelles soient traitées par les services de la société de l’information, tels que les réseaux sociaux. Reste à savoir comment une telle telle disposition fort louable pourra s’appliquer concrètement. Officiellement, les moins de 13 ans ne peuvent déjà pas s’inscrire sur Facebook, un interdit virtuel très facile à contourner.

En matière pénale et toujours dans le cadre des dérogation aux principes posés par le règlement européen, le projet de loi va renforcer les droits des personnes en créant un droit à l’information et en prévoyant l’exercice direct de droits tels que les droits d’accès, de rectification et d’effacement des données (droit à l’oubli). Il introduit également des règles encadrant les transferts de données à des Etats tiers.

Enfin, le communiqué du garde des Sceaux, ministre de la justice, précise que le Gouvernement a fait le choix de conserver, dans un souci d’intelligibilité, l’architecture de la loi « informatique et libertés ». C’est la raison pour laquelle il sera procédé par voie d’ordonnance pour réécrire à très bref délais la loi fondatrice de 1978 pour en améliorer la lisibilité.

Le projet de loi relatif à la protection des données personnelles sera présenté prochainement au parlement, aucune précision n’ayant été donnée quant au calendrier. Il faudra toutefois faire vite car la loi devra entrer en vigueur au 25 mai 2018.

Isabelle Pottier
Directrice Études et Publications

Pour aller plus loin : Dossier législatif