Image Image Image Image Image Image Image Image Image Image
Scroll to top

Haut

Protection des données personnelles : la loi est publiée !

Protection des données personnelles : la loi est publiée !

La loi relative à la protection des données personnelles est enfin publiée (loi n°2018-493 du 20 juin 2018). Définitivement adopté par l’Assemblée nationale le 14 mai dernier, le texte avait été très largement validé par le Conseil constitutionnel (décision n°2018-765 DC du 12 juin 2018). On attendait sa promulgation ; c’est désormais chose faite. Son objectif est clair : adapter la loi n°78-17 du 6 janvier 1978 au nouveau cadre juridique européen pour assurer sa pleine application en droit interne.

A ce titre, la loi apporte les modifications nécessaires pour permettre l’entrée en vigueur du règlement 2016/679 du 27 avril 2016 (règlement général sur la protection des données – RGPD) et transpose les dispositions de la directive 2016/680 du 27 avril 2016 qui vise à une harmonisation des règles applicables aux traitements de données personnelles dans le domaine pénal. Sauf exception, son entrée en vigueur est rétroactive au 25 mai 2018, date d’application du RGPD, et la publication de la plupart de ses décrets d’application est envisagée pour juillet 2018.

Pourquoi une loi française ?

Le RGPD est d’application immédiate en droit interne, dès sa date d’entrée en vigueur ; l’adoption d’une loi à l’échelle nationale ne devrait pas conditionner son application. Certes. Cependant, le RGPD confère aux Etats membres une certaine marge de manœuvre quant à l’application de plusieurs de ses dispositions. La loi du 20 juin 2018 précise la position de la France sur ces différents aspects. En résulte une articulation complexe en droit français : la loi de 1978 modifiée devra ainsi être lue de manière cumulative avec les dispositions du RGPD. En conséquence, le fait que certains aspects du RGPD ne soient pas mentionnés dans la loi (les dispositions relatives au délégué à la protection des données (data protection officer – DPO) et certaines exigences d’information au titre de l’obligation de transparence notamment) ne doit naturellement pas conduire à en écarter l’application.

Dans ces conditions, les modifications apportées à la loi de 1978 et liées au RGPD peuvent apparaître nombreuses et éparses. Elles assurent essentiellement une mise en conformité ponctuelle de ce texte avec le RGPD là où l’application directe du règlement ne suffit pas ou lorsqu’est nécessaire la prévision de garanties suffisantes pour protéger les droits des personnes concernées.

La nouvelle possibilité octroyée aux responsables de traitement de conserver les données au-delà de leur traitement initial lorsqu’est poursuivie une finalité archivistique dans l’intérêt public (article 14) en est un exemple. De même s’agissant des traitements automatisés donnant lieu à décision à l’encontre de la personne concernée (article 21), la loi adapte le droit français pour offrir les mesures appropriées suffisantes requises par le RGPD, notamment lorsque les traitements conduisent à des décisions administratives individuelles. Il en est ainsi encore du traitement des données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes (article 13), désormais ouvert aux personnes collaborant au service public de la justice (associations d’aide aux victimes, associations de réinsertion des personnes sous main de justice, etc.), aux victimes ou mis en cause et aux ré-utilisateurs des informations issues des jugements, sous certaines conditions.

Plus particulièrement :

  • Traitements sensibles et formalités subsistantes

Traitement du numéro d’inscription (NIR) au Répertoire national d’identification des personnes (RNI) (article 11 de la loi, portant modification des articles 22, 23, 24, 25 et 27 de la loi de 1978)
L’un des apports majeurs du RGPD réside dans l’instauration du principe de responsabilité (accountability) des responsables de traitements et des sous-traitants, visant à une plus grande effectivité de la régulation. Ce changement de perspective s’est traduit en France par une suppression des formalités préalables auprès de la Commission nationale de l’informatique et des libertés – CNIL (régimes de déclaration et d’autorisation). Certaines exceptions ont toutefois été maintenues. Il en va ainsi notamment du numéro de sécurité sociale (numéro d’inscription au RNI), qui constitue une donnée particulièrement identifiante : la loi renvoie à un décret cadre en Conseil d’Etat, pris après avis de la CNIL, la détermination des catégories de responsables de traitement autorisés à traiter du NIR ainsi que des finalités de ces traitements. Ne seront toutefois pas soumis à autorisation les traitements impliquant le NIR et poursuivant exclusivement des finalités de statistique publique, de recherche scientifique ou historique, ou de mise à la disposition des usagers de l’Administration un ou plusieurs téléservices de l’administration électronique, sous certaines conditions. Ces finalités ne justifient en effet pas un encadrement aussi contraignant, dès lors que sont aménagées des garanties supplémentaires.

Traitement des données sensibles (article 8 de la loi, modifiant l’article 8 de la loi de 1978)
Les données dites sensibles ne peuvent être traitées que dans certains cas limitativement énumérés par la loi. La loi a étendu le champ de ces dérogations. Elle exclut définitivement du principe de prohibition les traitements portant sur des données anonymisées selon un procédé reconnu conforme par la CNIL. Elle admet par ailleurs, dans la continuité de la loi n°2016-1321 du 7 octobre 2016 pour une République numérique, les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et décisions de justice, à condition toutefois qu’ils n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées. Dans un autre domaine, sont également autorisés les traitements mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés. Ces derniers traitements devront néanmoins être conformes à un règlement type adopté par la CNIL.

Traitements portant sur des données de santé (article 16 de la loi, modifiant le chapitre IX de la loi de 1978)
En principe, les traitements de données de santé ne pourront être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent. Des référentiels et règlements types établis par la CNIL en concertation avec l’Institut national des données de santé (INDS) notamment s’appliqueront à ces traitements. Les traitements conformes à ces référentiels pourront être mis en œuvre, à la condition toutefois que les responsables des traitements adressent préalablement à la CNIL une déclaration de conformité. Les traitements non conformes devront faire l’objet d’une autorisation préalable ; la CNIL disposera alors d’un délai de deux mois à compter de la demande pour répondre, à l’issue duquel la demande sera réputée acceptée sauf exception.

Ces mêmes principes s’appliquent en substance aux traitements automatisés dont la finalité réside dans la recherche ou les études dans le domaine de la santé ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention. Des garanties supplémentaires sont toutefois aménagées. Les référentiels et règlements types laissent place à des méthodologies de référence homologuées et publiées par la CNIL, établies en concertation avec l’INDS notamment. Conforme ou non, le traitement requerra le consentement des personnes concernées dès lors qu’il nécessite l’examen de caractéristiques génétiques. Et en cas de non-conformité à la méthodologie, le traitement devra être autorisé par la CNIL, après avis du comité compétent de protection des personnes (si la recherche implique la personne humaine) ou du Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (si la demande est relative à des études ou à des évaluations ainsi qu’à des recherches n’impliquant pas la personne humaine).

  • Consentement : précisions et implications

Consentement des enfants (article 20 de la loi, ajoutant un article 7-1 à la loi de 1978)
Dans un souci de meilleure conciliation de l’exigence de protection des enfants sur Internet et de la nécessité de mieux accompagner les mineurs dans l’apprentissage des usages numériques, la loi abaisse de 16 à 15 ans l’âge fixé par le RGPD à partir duquel un mineur peut consentir seul au traitement des données le concernant. Le responsable devra obtenir le double consentement des parents et du mineur s’il entend collecter les données d’un mineur de moins de 15 ans.

Liberté de choix pour les utilisateurs sur leurs terminaux (article 28 de la loi)
Le consentement de la personne concernée ne constitue une base juridique valable au traitement que s’il est donné librement. Or, un tel consentement pourra difficilement être considéré comme libre si le responsable du traitement, fabricant de smartphones par exemple, impose à la personne concernée l’utilisation d’une application qui serait moins protectrice de ses données. En ce sens, l’article 28 de la loi refuse toute restriction sans motif légitime d’ordre technique ou de sécurité des possibilités de choix de l’utilisateur final, notamment lors de la configuration initiale du terminal. Les accords conclus entre éditeurs d’applications et fabricants de terminaux en vue pour l’éditeur de bénéficier d’une exposition préférentielle de son application ne pourront conduire à évincer les concurrents de ce dernier et partant à réduire la protection des données de l’utilisateur final. L’éditeur pourra ainsi demander à ce que son application soit configurée par défaut, sans toutefois pouvoir interdire que des alternatives concurrentes soient également proposées à l’utilisateur.

  • Droits des personnes concernées

Communication des violations des données lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique (article 24 de la loi, modifiant l’article 40 de la loi de 1978)
Au titre des droits ouverts à la personne concernée par un traitement figure celui d’obtenir communication par le responsable du traitement d’une violation de ses données lorsqu’une telle violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Comme l’y autorise le RGPD (article 23), le législateur français déroge à ce principe lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. Cette dérogation n’est toutefois applicable qu’aux seuls traitements de données à caractère personnel nécessaires au respect d’une obligation légale qui requiert le traitement de ces données ou à l’exercice d’une mission d’intérêt public dont est investi le responsable de traitement. Il s’agit essentiellement de mieux assurer la lutte contre les auteurs de ces violations.

  • Nouveautés quant aux voies de recours

Action de groupe (article 25 de la loi, modifiant l’article 43 ter de la loi de 1978)
L’action de groupe de l’article 43 ter, instaurée par la loi n°2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, ne pouvait tendre jusqu’à présent qu’à la cessation des manquements, à la différence des actions ouvertes en droit de la consommation et de la concurrence, potentiellement réparatrices. Elle pourra désormais conduire à la réparation des préjudices matériels et moraux subis par la personne concernée. L’action de groupe devra alors s’exercer dans le cadre de la procédure individuelle de réparation définie par la loi Justice du XXIe siècle.

Mandat d’associations (article 26 de la loi insérant un article 43 quater dans la loi de 1978)
A côté des recours individuels auprès de la CNIL ou devant les juridictions compétentes, est désormais reconnue à la personne concernée la possibilité de donner mandat aux associations mentionnées sous l’article 43 ter IV pour leur permettre d’exercer en son nom un recours en constatation d’un manquement de la part d’un responsable de traitement. Bien que la loi ne le précise pas, le dispositif vaut également s’agissant des traitements en matière pénale.

Nouvelle voie de recours en cas de transferts internationaux de données (article 27 de la loi, insérant un article 43 quinquies dans la loi de 1978)
La loi aménage une nouvelle voie de recours en cas de transferts internationaux de données, intégrant en droit français la jurisprudence Schrems (CJUE, 6 octobre 2015, C-362/14), et remédie ainsi au risque de procédure en manquement. Si la CNIL estime fondés les griefs avancés relatifs à la protection des droits et libertés d’une personne concernée, elle pourra désormais demander au Conseil d’Etat d’ordonner la suspension du transfert de données, le cas échéant sous astreinte, et assortir ses conclusions d’une demande de question préjudicielle à la CJUE en vue d’apprécier la validité de la décision de la CNIL autorisant ou approuvant les garanties appropriées nécessaires (décisions d’adéquation ou autres). Cette voie de recours ne pourra toutefois pas être utilisée lorsque le transfert de données en cause constitue une opération de traitement effectuée par une juridiction dans l’exercice de sa fonction juridictionnelle.

Et ensuite ?

Seuls les points de conflit ou d’achoppement entre le droit interne et le droit européen ayant été traités, un travail de « recodification » de la matière par voie d’ordonnance est prévu pour plus de lisibilité. Deux objectifs sont essentiellement visés par l’habilitation législative : d’une part, la réécriture de l’ensemble de la loi de 1978 dans un souci de cohérence et de simplification de sa mise en œuvre par les personnes concernées ; d’autre part, la mise en cohérence de l’ensemble de la législation applicable à la protection des données personnelles pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes. A cet égard, l’adoption à venir du règlement e-Privacy devrait encore faire évoluer certaines positions (article 32-II sur les cookies notamment). A suivre donc.

 

Auteurs

Anne-Laure Villedieu, avocat associée, droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles

Alexandre Ghanty, juriste au sein du département de doctrine juridique

 

Protection des données personnelles : la loi est publiée ! – Article paru dans La Lettre Propriétés Intellectuelles de juillet 2018