Source : projet de loi relatif à la protection des données personnelles adopté par l’Assemblée Nationale en première lecture le 13 février 2018, scrutin public
n° 389.

Le projet de loi sur la protection des données personnelles a été discuté en Commission des lois du 23 au 25 janvier, puis en séances publiques les 6 et 7 février 2018.

Il a donné lieu, à cette occasion, à 412 amendements, dont plus de la moitié a été adoptée, comprenant notamment des règles plus sévères que celles prévues dans le texte européen.

L’exemple le plus parlant semble être celui de l’âge à partir duquel un mineur peut consentir seul au traitement des données personnelles le concernant. En effet, si l’article 8 du RGPD fixe l’âge légal du consentement des mineurs à 16 ans, il permet aux États membres d’abaisser ce seuil, à la condition qu’il ne soit pas inférieur à 13 ans. Cette liberté est destinée à permettre aux différents États membres d’adapter le Règlement selon leurs coutumes, l’ALLEMAGNE et le LUXEMBOURG ayant d’ores et déjà choisi de maintenir le seuil à 16 ans.

La Commission des lois a pour sa part choisi d’abaisser ce seuil à 15 ans, considéré comme l’âge où le mineur entre au lycée et où sa maturité lui permet en principe de maîtriser les usages sur Internet.

Concernant la marche à suivre lorsque le mineur est âgé de moins de 15 ans, le texte adopté par l’Assemble Nationale prévoit que le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le titulaire de la responsabilité parentale à l’égard de ce mineur. Le texte final prévoit également que le responsable de traitement doit rédiger en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne.

Le projet de loi introduit également une grande nouveauté dans le paysage juridique français de par l’extension de l’action de groupe, introduite par la loi 2016-1547 du 18 novembre 2016. En l’état de cette loi, l’action de groupe ne permettait que d’obtenir l’arrêt d’un manquement, sans qu’aucune réparation du dommage subi ne puisse être obtenue.

Or, le RGPD permet aux États membres d’adopter des dispositions autorisant des actions collectives avec mandat tendant à la réparation du préjudice subi. Un amendement a été adopté, qui prévoit que « cette action peut être exercée en vue, soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins ».

Le texte soumis à l’Assemblée Nationale étend également les pouvoirs de la CNIL, puisque celle-ci peut :

– publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements, encourager le développement de codes de conduite et publier des méthodologies de référence pour la recherche médicale ;

– prescrire des mesures de sécurité techniques et organisationnelles supplémentaires pour le traitement biométrique et génétique de santé ;

– décider de certifier des personnes, des produits, des systèmes de données ou des procédures de certification ;

– établir une liste de traitement susceptible de créer un risque élevé devant faire l’objet d’une consultation préalable de la CNIL ;

– présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du RGPD ou de la loi informatique et libertés.

La prochaine étape consistera en l’examen du projet de loi par le Sénat à partir du 20 mars 2018, l’adoption définitive du texte devant intervenir avant le 25 mai 2018, date d’entrée en vigueur du Règlement général sur la protection des données.

Virginie PERDRIEUX

Vivaldi-Avocats