RGPD : adoption définitive du projet de loi sur la protection des données personnelles
Le projet de loi relatif à la protection des données personnelles a été définitivement adopté par l’Assemblée nationale le 14 mai 2018.
Ce texte modifie en profondeur la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la « loi informatique et libertés ») afin de l’adapter au règlement européen sur la protection des données personnelles (Règlement (UE) n°2016/679) dit « RGPD » qui entrera en vigueur le 25 mai 20181. Bien qu’il ait vocation à fournir un cadre unifié de la protection des données à caractère personnel sur l’ensemble du territoire de l’Union européenne, le RGPD a laissé une certaine marge de manœuvre aux Etats membres, en effectuant près d’une cinquantaine de renvois au droit national.
L’adoption définitive du projet de loi constitue donc une première étape majeure dans la refonte du cadre législatif et réglementaire applicable à la protection des données personnelles dont les principaux apports sont présentés dans cet article.
L’application de la loi nationale en cas de divergence entre le droit français et les droits des Etats membres
Le nouvel article 5-1 de la loi informatique et libertés dispose qu’en cas de contrariété entre la loi d’adaptation du RGPD d’un Etat membre et la loi française, cette dernière s’appliquera si la personne concernée réside en France.
Cette disposition s’appliquera notamment aux responsables de traitement qui ne sont pas établis en France, lesquels devront respecter les spécificités de la loi française dès lors qu’ils traiteront les données d’une personne résidant en France. Dans son avis sur le projet de loi, la CNIL avait relevé, à juste titre, les difficultés opérationnelles qui pourraient naître avec les pays ayant retenu des critères différents.
La simplification des formalités préalables
Le projet de loi supprime l’obligation actuelle de déclaration préalable des traitements des données auprès de la CNIL.
Seuls deux types de traitements demeurent soumis à une autorisation préalable :
(i) les traitements concernant les données génétiques et biométriques lorsqu’ils sont mis en œuvre par l’Etat agissant dans l’exercice de ses prérogatives de puissance publique devront faire l’objet d’une autorisation préalable par décret en Conseil d’État, pris après avis motivé et publié de la CNIL;
(ii) certains traitements portant sur des données de santé non-conformes aux référentiels ou aux règlements types édictés par la CNIL devront être préalablement autorisés par cette dernière.
Les traitements portant sur des données comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR) feront l’objet de mesures spécifiques. Un décret en Conseil d’État, pris après avis motivé et publié de la CNIL, déterminera les catégories de responsables de traitement et les finalités de traitements comportant le NIR pouvant être mis en œuvre par des personnes publiques ou privées.
Le renforcement des pouvoirs et des missions de la CNIL
Le projet de loi renforce les prérogatives de la CNIL.
L’autorité de contrôle pourra ainsi prendre les mesures d’accompagnement suivantes :
- la certification des personnes, des produits et des systèmes de données ou des procédures ;
- l’établissement des listes de traitement nécessitant la réalisation d’une analyse d’impact préalable ;
- l’adoption de lignes directrices, de recommandations, de référentiels, de codes de bonne conduite, et de règlements types.
Les pouvoirs de contrôle de la CNIL sont également renforcés. C’est le cas notamment pour les contrôles en ligne qui pourront désormais être effectués par des agents utilisant une identité d’emprunt.
Le niveau des sanctions prévu par le RGPD2 est également repris dans le projet de loi lequel prévoit en outre la possibilité pour la CNIL de prononcer une injonction de se mettre en conformité assortie d’une astreinte de 100 000 euros par jour.
L’âge du consentement des mineurs
Le RGPD laisse aux Etats membres la possibilité d’abaisser l’âge minimal à partir duquel un mineur peut consentir à un traitement de données à caractère personnel, en ce qui concerne l’offre directe de services de la société de l’information.
Le projet de loi a fixé cet âge à 15 ans. Pour les mineurs âgés de moins de 15 ans, la nouvelle loi exige que le consentement soit donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur.
Elargissement de l’action de groupe
Précédemment cantonnée à la cessation du manquement commis par le responsable du traitement ou le sous-traitant, l’action de groupe permet désormais d’obtenir la réparation des préjudices matériels et moraux subis par les personnes concernées.
Après la promulgation de cette loi, il est prévu que le Gouvernement puisse, dans un délai de six mois, procéder à la réécriture de l’ensemble de la loi informatique et libertés afin notamment « d’améliorer son intelligibilité » et de « mettre en cohérence » l’ensemble de la législation applicable à la protection des données à caractère personnel. Ce cadre législatif sera également complété par les décrets d’application visés par le nouveau texte.
Notes
1 A la date de parution de cet article seuls quelques pays européens (notamment la Belgique, l’Allemagne et l’Autriche) ont définitivement adopté la loi adaptant leur droit national au RGPD.
2 Les montants des amendes administratives sont portés à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de l’entreprise et à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise pour certains manquements spécifiques au RGPD.
Auteurs
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Maxime Hanriot, avocat, droit de la propriété Intellectuelle et des nouvelles technologies.
Commentaires