Source : Projet de loi relatif à la protection des données personnelles présenté en conseil des ministres le 13 décembre 2017 par le Ministre de la justice
Le Règlement général sur la protection des données 2016/679/UE (ci-après RGPD) créé un véritable changement de culture par rapport à la Loi « Informatique et Liberté » du 6 janvier 1978, puisqu’il instaure en lieu et place d’un simple système de déclaration et d’autorisation préalable, une logique d’autocontrôle pour l’ensemble des responsables de traitements de données à caractère personnel, qu’il s’agisse d’entreprises privées ou de personnes publiques.
Il était donc indispensable de modifier l’état du droit français actuel aux fins de l’adapter au droit européen, en prévision de la date fatidique du 25 mai 2018.
Le Ministre de la justice a pris le parti-pris d’incorporer le RGPD dans la loi « Informatique et Liberté » de 1978, plutôt que d’abroger le texte originel et de créer une nouvelle loi, ce qui aurait eu le mérite de la clarté et de la simplicité. Le Conseil d’Etat a d’ailleurs rendu un avis négatif, en relevant que « la technique mise en œuvre aboutit (…) à un résultat très insatisfaisant en termes de lisibilité du droit positif ».
Au-delà de ces observations formelles, le texte de 24 articles marque l’adoption de nouveaux pouvoirs par la CNIL, et notamment :
– L’établissement de lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données ;
– La certification facultative des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au RGPD ;
– L’extension des pouvoirs de contrôle sur place de 6 heures à 21 heures et à l’ensemble des locaux qui ne sont pas affectés au domicile privé ;
– Un pouvoir de sanction pouvant aller jusqu’à la condamnation à payer une amende administrative de 20 millions d’euros ou 4 % du chiffre d’affaires consolidé.
Le Gouvernement a fait le choix de maintenir le régime d’autorisation préalable pour le traitement des données les plus sensibles, soit les données biométriques, les données génétiques et celles comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. Les traitements utilisant des données de santé font également l’objet d’un régime protecteur et unifié.
Concernant le traitement des données à caractère personnel en matière pénale, les droits des personnes sont renforcés par rapport aux prévisions du RGPD, puisqu’il est prévu l’exercice direct de certains droits tels que les droits d’accès, de rectification et d’effacement des données.
Enfin, le texte prévoit qu’en cas de divergence de législation entre les Etats membres, le droit national s’appliquera dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. Une exception à cette règle est faite lorsque la liberté d’expression et d’information est concernée : le droit applicable est alors celui du pays dans lequel se situe le responsable du traitement.
Les modifications apportées au droit français seront ultérieurement codifiées par voie d’ordonnance dans la loi fondatrice de 1978.
Virginie PERDRIEUX
Vivaldi-Avocats