Projet de loi relatif à la protection des données personnelles

Le gouvernement a rendu public le 13 décembre 2017 « le projet de loi relatif à la protection des données personnelles », ayant pour but d’accompagner la prise d’effet en France du Règlement Général sur la Protection des Données, Règlement  2016/679 (« RGPD ») et la Directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités à des fins de prévention et de détection des pénales, et à la libre circulation de ces données.

Ci-après sont exposées quelques-unes des dispositions du projet de loi.

Un texte qui crée (temporairement) une certaine confusion

Le projet de loi se présente comme un amendement à la Loi Informatique et Libertés (publié en 1978, modifiée de façon significative en 2004), le communiqué de presse du 13 décembre précisant que le « Gouvernement a […] fait le choix de conserver, dans un souci d’intelligibilité, l’architecture de la loi [informatique et libertés] ».

La Loi informatique et libertés telle que modifiée par le projet de loi est particulièrement difficile à lire car elle laisse coexister l’ancien texte avec les nouvelles dispositions du RGPD (comme par exemple les anciennes dispositions sur l’application territoriale qui ont été modifiées de façon significative par le RGPD).

L’article 20 du projet de loi prévoit de ce fait que le gouvernement pourra prendre par ordonnance les mesures nécessaires à la « réécriture de l’ensemble de la loi […] afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées » […] et pour « remédier aux éventuelles erreurs et omissions résultant de la présente loi ». Cette ordonnance sera prise après avis de la CNIL dans un délai de 6 mois à compter de la promulgation de la loi.

Domaine d’application des dérogations nationales

Dans les domaines dans lesquels le RGPD permet aux États membres d’adapter ou de compléter les droits et obligations prévus par le RGPD, les dispositions françaises s’appliqueront « dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’y est pas établi ».

Cependant lorsque le traitement relève de la liberté d’expression ou de la liberté de la presse, les règles nationales seront celles du responsable de traitement.

Pouvoirs de la CNIL

Le projet de loi contient un bon nombre de changements relatifs aux pouvoirs et à l’organisation de la CNIL.

Pouvoirs étendus en matière de « soft law » (« droit mou »), notamment, la CNIL :

  • établira et publiera des lignes directrices, recommandations ou référentiels destiné à faciliter la mise en conformité des traitements, encouragera le développement de code de conduite et publiera des méthodologies de référence pour la recherche médicale ;
  • pourra prescrire des mesures de sécurité techniques et organisationnelles supplémentaires pour les données des santés et notamment les données génétiques ou biométrique ;
  • pourra décider de certifier ou organiser le processus de certification des personnes ;
  • pourra établir une liste de traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable de la CNIL ;
  • pourra présenter des observations devant toute juridiction à l’occasion d’un litige relatif au RGPD ou la loi Informatique et Libertés.

Sanctions – plusieurs modifications sont relatives à la procédure de sanction et aux sanctions elles-mêmes (la CNIL pourra décider d’une injonction assortie d’une astreinte d’un montant maximum de 100.000 euros par jour).

Contrôles – D’autres modifications concernent le pouvoir d’investigation de la CNIL (et notamment le droit des agents d’utiliser une identité d’emprunt pour les investigations en ligne).

Coopérations – Il y a plusieurs dispositions sur la coopération entre la CNIL et les autres autorités de contrôle de l’UE y compris en ce qui concerne les contrôles conjoints.

Transferts internationaux – Dans le cadre d’une réclamation, la CNIL pourra « demander au Conseil d’État d’ordonner la suspension ou la cessation du transfert de données en cause, le cas échéant sous astreinte, et assortit alors ses conclusions d’une demande de question préjudicielle à la Cour de justice de l’Union européenne en vue d’apprécier la validité de la décision d’adéquation de la Commission européenne ainsi que de tous les actes pris par la Commission européenne autorisant ou approuvant les garanties appropriées dans le cadre des transferts de données ».

Les formalités auprès de la CNIL

Le RGPD a supprimé les formalités préalables auprès des autorités de contrôle, à l’exception de la consultation préalable des autorités en cas de traitement présentant un risque après l’analyse d’impact sur les données personnelle (DPIA) ou des mesures de sauvegarde pour les transferts. Cependant:

  • La loi française conserve des formalités pour les données de santé dans certains domaines 
  • Les traitements impliquant l’utilisation du NIR (numéro de sécurité sociale) seront autorisés dans cadre d’un décret en Conseil d’État, pris après avis motivé et publié de la CNIL, qui déterminera les catégories de responsables de traitement et les finalités de ces traitements. À titre dérogatoire l’utilisation du NIR est autorisé pour les besoins de statistiques nationales, de recherche scientifique ou des relations électroniques avec l’administration française. Ce système parait particulièrement inflexible.
  • Un niveau élevé d’autorisation reste applicable pour les traitements pour le compte de l’État et notamment l’utilisation de données biométriques ou génétique à titre d’identification et de contrôle d’identité). 

Délégué à la protection des données

Le projet de loi n’ajoute pas de critères, par rapport au RGPD, à la nomination du Délégué à la Protection des Données ou DPO.

Données de santé

Traitement de données dans le domaine de la santé

Le chapitre IX et les nouveaux articles 53 à 60 sont consacrés au traitement de données « dans le domaine de la santé » « mis en œuvre en considération de la finalité d’intérêt public qu’ils présentent ». Ces traitements n’incluent pas ceux « nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé » qui sont couverts par les dispositions sur les données sensibles). Ils incluent notamment, sans y être limités, la recherché médicale et l’évaluation des soins.

Le traitement de ces données devra se conformer à des référentiels, règlements types et méthodologies de référence établis par la CNIL en concertation avec l’Institut national des données de santé et des organismes publics et privés représentatifs des acteurs concernés. La mise en œuvre devra être précédée (i) d’une déclaration de conformité au référentiel, règlement type ou méthodologie de référence   ou (ii) d’une autorisation préalable de la CNIL. La commission peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

Le projet de loi contient aussi des dispositions sur le droit des personnes concernées, y compris en ce qui concerne les mineurs.

Catégories particulières de donnée dites « données sensibles »

Le projet de loi ajoute à l’interdiction de principe de traiter des données sensibles de, traiter des données génétiques, biométriques aux fins d’identifier une personne physique de manière unique (ainsi que les données concernant l’orientation sexuelle d’une personne).

En revanche il autorise, en plus de ce qui est prévu à l’article 9.2 du RGPD, l’utilisation des données biométriques par l’employeur ou l’administration comme mode de contrôle d’accès au lieu de travail, aux appareils ou aux applications.

Données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes

Ce type de données ne peut être utilisé que par certaines catégories de personnes, sauf dans la mesure où elles sont utilisées aux fins d’exercer et de suivre une action en justice en tant que victime, mis en cause, ou pour le compte de ceux-ci, et de faire exécuter la décision rendue, et ce dans la mesure strictement nécessaire.    
    
Par ailleurs est autorisée la réutilisations d’informations publiques figurant dans les jugements et décisions, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la ré-identification des personnes concernées.

Représentation des personnes

Des personnes concernées peuvent être représentées individuellement dans le cadre de leur réclamation auprès de la CNIL ou action à l’encontre de la CNIL par des associations ou organisations déjà habilitées à procéder à des actions de groupe (était rappelé que les actions de groupe ne peuvent pas porter sur l’indemnisation du préjudice).

Décisions individuelles automatisées

Le projet de loi favorise les décisions automatisées par l’administration sous réserve que cela n’inclue pas de données sensibles et que le responsable du traitement « s’assure de la maîtrise du traitement algorithmique et de ses évolutions » (sans que ceci soit davantage défini).

Communication de violation de données personnelles

Un décret en Conseil d’État, pris après avis de la CNIL, fixera la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication aux personnes concernées d’une violation de données, lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. La dérogation n’est applicable qu’aux seuls traitements de données à caractère personnel nécessaires au respect d’une obligation légale qui requiert le traitement de ces données ou nécessaires à l’exercice d’une mission d’intérêt public dont est investi le responsable de traitement.

Age pour le consentement des mineurs

Le projet de loi ne contient aucune disposition sur l’âge requis et par défaut c’est donc l’âge de 16 ans qui s’appliquera. Il y a un débat sur le point de savoir si cela ne devrait pas être 15 ans.

Prochaine étapes

Le projet de loi a déjà reçu l’avis du conseil d’État et de la CNIL. II a été soumis par le gouvernement le 13 décembre à une procédure accélérée, ce qui limite le nombre de lectures par les deux chambres du parlement, en vue d’une adoption avant l’échéance du 25 mai 2018.

Même après l’adoption de cette loi, et ainsi que cela est prévu dans le texte, la Loi Informatique et Libertés devra faire l’objet d’un nettoyage en profondeur pour la rendre parfaitement compatible avec le RGPD.

Nous vous tiendrons informé du texte final.
  Contact : stephanie.faber@squirepb.com