Le projet de Loi adopté en première lecture au Sénat les 20 et 21 mars 2018 a pour objet d’adapter au droit de l’Union Européenne la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
L’Assemblée Nationale avait d’ores et déjà inséré dans le projet de loi des obligations non prévues par le texte européen, apportant un niveau de protection des données à caractère personnel renforcé. Le Sénat a décidé à son tour, lors de l’examen postérieur du texte, d’apporter des règles protectrices supplémentaires, mais également de combler un vide législatif au regard du traitement des données à caractère personnel par les collectivités territoriales.
Le débat concernant l’âge à partir duquel un mineur peut consentir seul au traitement de ses données à caractère personnel concernant l’offre directe de service d’une société de l’information a été rouvert devant le Sénat, alors que l’Assemblée Nationale l’avait fixé à 15 ans. La Directive et le Règlement européen laissent en effet une marge d’appréciation aux législateurs nationaux pour le choix de cet âge entre 13 et 16 ans. La Commission des lois du Sénat a décidé de remonter cet âge à 16 ans, au regard des dangers auxquels sont exposés les adolescents sur Internet.
Surtout, le Sénat a constaté que le projet de loi initial ne faisait aucunement état des collectivités territoriales, qui seront pourtant toutes concernées par le traitement de données à caractère personnel.
A titre d’exemple, une cantine communale est susceptible de traiter des données à caractère sensible du simple fait d’identifier une allergie alimentaire, ou le refus d’un élève de manger du porc, puisque ces données touchent à la santé ou à la religion d’une personne.
Au surplus, le texte européen prévoit que toute autorité publique devra désigner un délégué à la protection des données, ce qui suppose d’importants investissements humains et financiers pour les plus petites collectivités. Ce faisant, le Sénat a prévu de dégager de nouveaux moyens financiers pour aider les collectivités à se mettre en conformité, en créant une dotation communale et intercommunale pour la protection des données personnelles.
Un assouplissement des règles a également été accordé aux collectivités, puisque le Sénat a décidé de les exempter de toute possibilité d’amende administrative susceptible d’être prononcée par la CNIL pour non-respect des règles sur la protection des données à caractère personnel. L’entrée en vigueur de l’action de groupe en réparation en matière de données personnelles visant spécifiquement les collectivités a été reportée de deux ans, afin de leur permettre de prendre le temps de s’adapter. Cette faveur accordée aux collectivités paraît cependant dérogatoire au Règlement général sur la protection des données adopté par la Commission Européenne, qui imposait les mêmes règles aux autorités publiques qu’aux entités privées. Le délai d’adaptation de deux ans accordé aux collectivités apparaît excessif, alors que le texte européen a été adopté le 14 avril 2016, soit il y a d’ores et déjà plus de deux ans.
Le texte, examiné en procédure accélérée, devra passer en Commission mixte paritaire en vue de son adoption définitive.
Virginie PERDRIEUX
Vivaldi-Avocats
