Projet de loi CNIL 2 – Projet de réforme relative à la protection des données personnelles et transposant le RGPD

Le 13 décembre 2017, la Ministre de la Justice, Nicole Belloubet, a présenté le projet de réforme de la Loi du 6 janvier 1978 dite « Informatique et Libertés ». Issu d’une collaboration avec le secrétariat d’Etat au numérique, ce texte tant attendu en ce qu’il est censé acter l’entrée en vigueur imminente du Règlement Général pour la Protection des Données (RGPD[1]), frappe par son ambivalence.

Si à l’égard des opérateurs publics il offre quelques précisions d’importance, le texte surprend par la nature imparfaite de la transposition du RGPD qu’il doit opérer. D’ailleurs, dans une délibération[2] précédant sa communication publique, la CNIL a pu faire état de ses nombreux doutes quant à la valeur du projet porté par la Chancellerie.

  • Les précisions apportées par le projet de Loi :

Sur les traitements d’infraction :

La nouvelle rédaction de l’article 9 tend à imposer un contrôle de la CNIL sur les traitements des données de « condamnations pénales (…) infractions ou (…) mesures de sûreté connexes » alors que la rédaction actuelle vise plus généralement les données d’« infractions, condamnations et mesures de sûreté ». Il faut donc probablement voir face à cette précision sur la nature pénale des condamnations, la possibilité de mener un traitement de données de condamnation de nature civile sans autorisation préalable de la Commission.

Sur les traitements anonymisées :

Si le RGPD tend à minorer le rôle des autorités nationales de contrôle au profit d’une responsabilisation des acteurs du secteur, le projet entend maintenir le rôle de la Commission dans le contrôle préalable de la conformité des procédés d’anonymisation à bref délai.

  • Les défaillances du projet de Loi :

L’article 34 du RGPD impose au responsable de traitement la communication, dans les meilleurs délais, d’une violation de données à caractère personnel susceptible d’engendrer un risque élevé pour la personne concernée. Compte tenu de la rigueur de cette obligation et de la gravité éventuelle pour le responsable de traitement, sur sa réputation notamment, les espoirs étaient grands de voir le projet de Loi spécifier cette notion de risque et les éventuelles données concernées. En vain, puisque le texte se contente de préciser qu’un décret s’en chargera.

Concernant l’information des personnes, le projet dispose que devront être communiquées à la personne concernée par le traitement, « dans des cas particuliers, les informations additionnelles suivantes (…) :

1° La base juridique du traitement ;

2° La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

3° Le cas échéant, les catégories de destinataires des données à caractère personnel, y compris dans les Etats non membres de l’Union européenne ou au sein d’organisations internationales ;

 4° Au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l’insu de la personne concernée. »

Les mentions « dans des cas particuliers » et « des informations complémentaires » sont véritablement imprécises, inintelligibles et s’éloignent de la volonté clarificatrice souhaitée par le RGPD.

Il convient par ailleurs de rappeler que la Loi du 7 octobre 2016 pour une République Numérique avait adopté une rigueur certaine en matière d’information sur les durées de conservation, disposant notamment que les personnes auprès de qui les données sont collectées doivent être informées « de la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée »[3]. Les « cas particuliers » visés par le projet vont donc à l’encontre du droit positif actuel, qui est d’application plus général.

Le projet de Loi est aussi surprenant tant certains oublis sont criants. Le RGPD a reconnu de nouveaux droits en faveurs des personnes, à l’instar du droit à l’oubli et du droit à la portabilité des contenus et que le projet de Loi français a tout simplement ignoré. Bien que la Loi pour une République Numérique reconnaisse le droit à la portabilité, elle appelait pour autant un certain approfondissement que le projet de loi n’a pas su satisfaire.

Les multiples imprécisions et oublis du projet sont autant d’arguments permettant de ne pas s’en satisfaire. A ce titre et preuve de ses défaillances, le projet reconnait en son Titre IV intitulé « Habilitation à améliorer l’intelligibilité de la législation applicable à la protection des données », qu’il n’est pas intelligible en l’état et que des erreurs ont pu s’y glisser ! Il est donc prévu la possibilité pour le Gouvernement de procéder par voix d’ordonnances afin de mettre en place les mesures nécessaires pour assurer « les corrections formelles et les adaptations nécessaires » voire « remédier aux éventuelles erreurs et omissions résultant de la présente loi ».

La CNIL considère que ce projet « constitue à certains égards une occasion manquée de procéder à un réexamen global du droit de la protection des données en France ».

En l’état, ce projet n’apporte véritablement aucune aide aux entreprises de droit privé, qui devront mener leur démarche de mise en conformité, « à vue ».

 

Charlotte GALICHET

Pierre FAVILLI

 

 

 

 

[1]Pour en savoir plus sur les grands principes du Règlement européen  : http://avocatspi.com/2017/08/22/les-grands-principes-du-reglement-europeen-sur-la-protection-des-donnees-personnelles/

[2] Délibération n° 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d’adaptation au droit de l’Union européenne de la loi n°78-17 du janvier 1978 (demande d’avis n°17023753)

[3] LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique, Article 57

Bookmark the permalink.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *