Projet de loi relatif à la protection des données personnelles : Quels impacts ?

Contenu rédigé par Lisa Casale dans le cadre d’un concours organisé avec le M2 Droit du numérique de l’Université Toulouse 1 Capitole.

        Le 13 décembre 2017, un projet de loi relatif à la protection des données personnelles a été publié. Ce projet de loi n’a nullement pour vocation de réécrire le RGPD. Ce dernier est, en effet, directement applicable dans les États membres de l’Union européenne dès son entrée en application le 25 mai 2018. En revanche, le RGPD laisse pas moins de cinquante-sept marges de manœuvre aux États membres pour adapter la règlementation en matière de protection des données à caractère personnel à leur législation, mais également pour prévoir des garanties supérieures à celles prévues par le droit européen. C’est dans ce cadre qu’intervient ce projet de loi visant à modifier la Loi « Informatique et Libertés » du 6 janvier 1978 afin d’adapter le droit national au RGPD. De cette manière, le Gouvernement entend poursuivre et moderniser les principes fondateurs contenus dans la Loi « Informatique et Libertés ».

Ce projet de loi vise également à transposer la directive 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuites en la matière ou d’exécution de sanctions pénales qui doit être transposée dans le droit national d’ici le 6 mai 2018.

Le Gouvernement a donc engagé la procédure accélérée sur ce projet de loi, car les dispositions prévues par le législateur doivent entrer dans le droit français avant mai 2018 afin de respecter les prescriptions imposées par le droit européen. La CNIL a d’ailleurs rendu un avis sur ce projet de loi le 30 novembre 2017 où elle déplore le retard pris par le Gouvernement sur cette question. De plus, la CNIL regrette le manque de lisibilité de ce projet de loi qui s’attache à modifier les dispositions de la Loi « Informatique et Libertés » en opérant un renvoi systématique à cette dernière. En effet, la réécriture d’ensemble de la loi « Informatique et Libertés » n’interviendra que par le biais d’une ordonnance ultérieure.

En attendant la promulgation de cette ordonnance, plusieurs choix opérés par le Gouvernement au sein de ce projet de loi peuvent, dès à présent, être mis en lumière.

Dispositions relatives à la CNIL

Missions de la CNIL

La logique de responsabilisation initiée par le RGPD se devait d’être accompagnée d’un élargissement des missions de l’autorité de contrôle. C’est pourquoi la CNIL peut notamment établir et publier des lignes directrices, des recommandations ou référentiels permettant de faciliter la mise en conformité et l’évaluation préalable des risques pour les responsables de traitement et les sous-traitants. De même, une capacité d’agrément des organismes certificateurs et de certification des personnes, des produits, des systèmes ou des procédures afin d’en démontrer la conformité au RGPD lui est reconnue.

Pouvoir de contrôle de la CNIL

Les agents de la CNIL pourront non seulement contrôler les locaux professionnels comme c’était déjà le cas sous l’empire de l’ancienne version de la loi « Informatique et Liberté », mais désormais ils pourront également intervenir dans des locaux qui n’ont ni le caractère de local professionnel ni celui de domicile privé tels que des parties communes d’immeubles, ce qui représente un fort élargissement de leur champ d’action.

De plus, seul le secret professionnel applicable aux relations entre un avocat et son client, le secret des sources des traitements journalistiques et, sous certaines conditions, le secret médical, sont opposables aux agents de la CNIL. Ce qui signifie qu’en dehors de ces cas particuliers, aucun secret professionnel ne peut s’opposer au contrôle des agents de la CNIL.

Mesures correctrices et sanctions que la CNIL peut prendre

La formation restreinte de la CNIL peut prononcer une injonction de mettre en conformité le traitement, assortie d’une astreinte. Seuls les traitements mis en œuvre par l’État ne souffriront pas d’une telle astreinte, qui apparait comme un moyen dissuasif pour les responsables de traitement et les sous-traitants de ne pas se mettre en conformité avec la règlementation applicable en la matière.

Par ailleurs, le Président de la CNIL peut mettre en demeure le responsable de traitement de communiquer à la personne concernée une violation de ses données. Une fois encore, certains traitements sont exclus de cette disposition. Il s’agit notamment des traitements qui intéressent la sûreté de l’État ou la défense.

Également, la CNIL peut prendre le même type de mesures correctrices et de sanctions à l’encontre d’un organisme de certification.

Données sensibles

Outre une modification rédactionnelle qui inclut les nouvelles catégories de données sensibles prévues par le RGPD, le projet de loi souffre ici d’un manque de clarté au regard de l’article 9 du RGPD. En effet, le projet de loi reprend le principe d’interdiction des traitements des données sensibles, mais les exceptions visées ne permettent pas la sécurité des traitements, notamment au regard de l’exception en raison de l’intérêt légitime du responsable de traitement. Par exemple, s’agissant de l’autorisation délivrée par la CNIL des dispositifs biométriques mis en place par les employeurs pour leurs employés, leur seul intérêt légitime ne peut pas suffire comme fondement au traitement de telles données sensibles selon la CNIL. En effet, le RGPD ne rend plus possible le recours au seul intérêt légitime.

Champ d’application territorial

Dans le cas où des législations nationales seraient divergentes en raison des marges de manœuvre laissées aux États membres de l’UE, dès lors que la personne concernée réside en France, ce sera la loi française qui s’appliquera, même si le responsable de traitement est établi en dehors de la France. Cependant, ce critère peut lui-même entrer en contradiction avec d’autres législations qui auraient retenu des dispositions contraires dans leur droit interne.

Simplification des formalités préalables à la mise en œuvre des traitements

Outre la suppression des régimes de déclaration préalable et d’autorisation délivrés par la CNIL et l’instauration de mesures internes telles que l’analyse d’impact, l’apport du projet de loi réside dans l’instauration d’une formalité préalable particulière pour les traitements nécessitant l’utilisation du NIR, car le principe est l’interdiction des traitements de telles données sans autorisation spécifique par décret en Conseil d’État. Cependant si ces traitements ont des finalités exclusivement statistiques, s’ils répondent à une alerte sanitaire ou s’il s’agit des téléservices de l’administration électronique, ils seront dispensés de cette autorisation.

La CNIL déplore qu’un tel dispositif, qui se veut simplificateur, freine en réalité le développement de dispositifs innovant dans le domaine de la santé en raison de cette nécessité d’obtenir une autorisation spécifique par décret pris en Conseil d’État si le responsable de traitement ne bénéficie pas des exceptions prévues. Ce serait le cas par exemple des fournisseurs de solutions de télémédecine qui doivent traiter les NIR des patients à des fins de remboursement.

D’autre part, dans le cas où le traitement présenterait un risque élevé, risque laissé à l’appréciation du responsable de traitement, la CNIL doit être consultée par ce dernier, ce qui renvoie une fois encore à la logique de responsabilité soutenue par le RGPD.

 

Dispositions relatives à certaines catégories particulières de traitement

Données d’infraction

En plus des juridictions, des autorités publiques et des personnes morales gérant un service public, un traitement de cette catégorie de données peut être réalisé par des personnes morales de droit privé collaborant au service public de la justice telles que des associations d’aide aux victimes, ou de réinsertion des personnes placées sous main de justice.

De plus, un traitement de ces données peut être réalisé par des personnes physiques ou morales lorsque ce traitement a pour but de les préparer et éventuellement de leur permettre d’exercer et suivre une action en justice lorsqu’elles sont victimes ou mises en cause. Il en est de même lorsque ce traitement vise à exécuter la décision rendue. Cependant, la durée du traitement doit être proportionnée au regard de cette finalité, c’est-à-dire qu’elle ne doit pas dépasser la durée du procès ou l’exécution de la décision rendue par le juge.

Le projet de loi prend également en compte l’open data avec la possibilité de réaliser des traitements portant sur des décisions de justice s’ils garantissent l’absence de réidentification des personnes concernées.

 

Archives, recherche scientifique et statistique

Le projet de loi use de la marge de manœuvre permise par l’article 89 du RGPD en prévoyant des dérogations à certains droits des personnes concernées dans la mesure où ces droits rendent impossibles ou entravent sérieusement la réalisation de finalités archivistiques dans l’intérêt public, de recherche scientifique et historique ou statistiques. Il en est de même si ces dérogations sont nécessaires pour atteindre ces finalités.

Ainsi, aucune distinction n’est opérée quant aux différentes catégories de données à caractère personnel pouvant être concernées par de telles finalités ni au regard des différents responsables de traitements émanant de différents secteurs pouvant réaliser des traitements sous couvert de ces finalités. La CNIL recommande d’ailleurs plus de précisions au moyen d’un décret d’application.

Données de santé

Dès lors que les traitements qui concernent des données de santé sont justifiés par une finalité d’intérêt public, la procédure d’autorisation préalable délivrée par la CNIL ne s’appliquerait plus que dans les cas où ces traitements ne seraient pas conformes aux référentiels, aux règlements types et aux méthodologies de références que la CNIL aura établis en concertation avec l’Institut national des données de santé. Tous les autres traitements des données de santé qui ne répondraient pas à cette finalité d’intérêt public sont prohibés.

Le projet de loi prévoit également des dispositions particulières pour les traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé. Ces derniers peuvent être mis en œuvre s’ils sont conformes à une méthodologie de référence établie par la CNIL en concertation avec l’Institut national des données de santé, dans les autres cas, une autorisation de la CNIL sera nécessaire.

Limitation des droits des personnes pour certains traitements

La portée des droits des personnes concernées peut être limité par voie de mesures législatives, sans que ces mesures soient impérativement un acte législatif adopté par un parlement, dans le cas où celle limitation est nécessaire et proportionnée pour garantir certains objectifs tels que la sécurité nationale, la défense nationale, la sécurité publique, la prévention et la détection d’infractions pénales, la protection de l’indépendance de la justice et des procédures judiciaires, ainsi que les objectifs importants d’intérêt public général de l’Union ou d’un État membre.

Par ailleurs, un décret pris en Conseil d’État fixera la liste des traitements autorisés à déroger au droit à la communication d’une violation de données lorsqu’une telle notification est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

Mineurs

Le projet de loi n’use pas de la marge de manœuvre laissée quant à la détermination de l’âge minimal à partir duquel un mineur peut consentir seul au traitement de ses données personnelles. Ainsi, la limite de 16 ans fixée par le RGPD est conservée.

By | 2018-06-27T13:38:20+00:00 15 avril 2018|Data Lex|