Bien que soumise à une procédure d’adoption accélérée, la nouvelle loi Informatique et Libertés n’a pas réussi à être promulguée avant l’entrée en vigueur le 25 mai 2018 du Règlement général sur la protection des données (RGPD) en date du 27 avril 2016.
Le texte a en effet fait l’objet de plusieurs remaniements par le Parlement, lequel a apporté un renforcement des droits des personnes concernées par le traitement de données à caractère personnel, le Règlement européen laissait une large marge de manœuvre aux Etats membres pour adapter les règles à leurs différentes sensibilités.
L’exemple le plus parlant s’avère celui de l’âge à partir duquel un mineur peut consentir seul au traitement des données personnelles le concernant. En effet, si l’article 8 du RGPD fixe l’âge légal du consentement des mineurs à 16 ans, il permet aux États membres d’abaisser ce seuil, à la condition qu’il ne soit pas inférieur à 13 ans. Dans un premier temps, l’Assemblée nationale avait choisi d’abaisser ce seuil à 15 ans, puis le Sénat l’avait remonté à 16 ans, pour finalement conserver l’âge de 15 ans dans le texte définitivement adopté.
L’évolution notable du texte tient en l’extension des pouvoirs de la CNIL, laquelle est investie de la mission d’accompagner les acteurs traitant des données dans la mise en conformité de leurs systèmes. En complément des missions qu’elle exerce déjà, la CNIL peut donc désormais :
– publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements, encourager le développement de codes de conduite et publier des méthodologies de référence pour la recherche médicale ;
– prescrire des mesures de sécurité techniques et organisationnelles supplémentaires pour le traitement biométrique et génétique de santé ;
– décider de certifier des personnes, des produits, des systèmes de données ou des procédures de certification ;
– établir une liste de traitement susceptible de créer un risque élevé devant faire l’objet d’une consultation préalable de la CNIL ;
– présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du RGPD ou de la loi informatique et libertés.
Plusieurs articles de loi sont également consacrés à la procédure de coopération entre la CNIL et les autres autorités de protection européennes en cas de traitements transnationaux, l’objectif étant d’apporter une solution unique en cas d’atteinte aux droits des personnes situées dans plusieurs pays membres.
Le droit sur la protection des données personnelles devra donc s’entendre de la combinaison du droit français tel que modifié par cette nouvelle loi et du Règlement européen, d’application directe.
Une ordonnance devrait être prise dans un délai de 6 mois pour réécrire la Loi Informatique et Libertés de 1978 au regard de ce cadre juridique en deux niveaux et faciliter sa compréhension.
Virginie PERDRIEUX
Vivaldi-Avocats
