En modifiant la loi Informatique et Libertés, la loi pour une République numérique anticipe certaines dispositions et obligations prévues dans le Règlement Général sur la Protection des Données (RGPD).

De cette anticipation naissent certains chevauchements entre la loi Informatique et Libertés telle que modifiée par la loi pour une République numérique et le RGDP que cet article vous propose de mettre en lumière.

L’exercice des droits par voie électronique

Le nouvel article 43bis de la loi Informatique et Libertés dispose que « Sauf dans le cas prévu au 1° du I de l’article 26

[Traitements intéressant la sûreté de l’Etat, la défense ou la sécurité publique], si le responsable de traitement a collecté par voie électronique des données à caractère personnel, il permet à toute personne d’exercer par voie électronique les droits prévus au présent chapitre lorsque cela est possible.« .

Un parallélisme des formes semble donc être créé entre le mode de collecte des données à caractère personnel par le responsable du traitement et les modalités selon lesquelles les personnes peuvent exercer leurs droits. Dès lors, la voie électronique est instituée comme le mode d’exercice de principe pour toute collecte des données sous la même forme.

Dans ce contexte, le responsable du traitement devra, a minima, communiquer aux personnes, via la mention d’information qui figure sur les formulaires de collecte, une adresse électronique aux fins d’exercice de leurs droits. Notons que cette pratique est déjà largement répandue.

En revanche, la création d’un formulaire mis à disposition des personnes pour qu’elles exercent lesdits droits pourrait également être envisagée. Ainsi, à l’instar du formulaire de contact, un formulaire dédié à l’exercice des droits pourrait voir le jour.

Notons par ailleurs que la loi pour une République numérique prévoit que cet article 43bis nouveau soit abrogé le 25 mai 2018, soit le jour de l’entrée en application du RGPD. Or, ce mode d’exercice par voie électronique aurait pu s’intégrer à l’exigence de l’article 12§2 du RGPD selon laquelle le responsable du traitement doit faciliter l’exercice de leurs droits par les personnes.

La reconnaissance d’un droit à l’effacement spécifique

La loi Informatique et Libertés prévoit désormais un droit à l’effacement spécifique aux personnes dont les données ont été collectées au moment où elles étaient mineures (article 40, II de la loi).

Or, il convient de noter que l’article 17 du RGPD intitulé « Droit à l’effacement (« droit à l’oubli ») permettra à toute personne dont les données sont collectées d’en obtenir l’effacement de la part du responsable du traitement sous réserve des exceptions prévues.

Dès lors, il est possible de s’interroger sur la pertinence de la subsistance, à compter du 25 mai 2018, du droit à l’effacement spécifique aux personnes mineures au moment de la collecte de leurs données et du droit à l’effacement prévu par le RGPD qui a vocation à s’appliquer largement à toute personne dont les données sont collectées.

Par ailleurs, il convient de souligner que le responsable du traitement saisi d’une demande d’effacement des données sur le fondement de l’article 40, II de la loi Informatique et Libertés disposera d’un délai d’un mois à compter de la demande. A l’expiration de ce délai, si le responsable du traitement n’a pas procédé à l’effacement des données ou s’il n’a pas répondu à la demande, la CNIL pourra être saisie et devra se prononcer sur la plainte dans un délai de trois semaines.

Le législateur a vraisemblablement anticipé l’application du RGPD qui prévoit que les demandes d’exercice des droits soient satisfaites dans un délai d’un mois.

Dans ce contexte, dans l’attente de l’application du RGPD, un responsable du traitement devrait donc satisfaire aux demandes d’exercice des droits suivant le schéma ci-dessous.

Loi pour une République numérique

 

Le pouvoir de sanction pécuniaire de la CNIL renforcé

La loi pour une République numérique augmente le montant maximum de la sanction pécuniaire que la CNIL peut prononcer à l’encontre d’un responsable du traitement en cas de manquement à la loi Informatique et Libertés.

En effet, le CNIL peut désormais prononcer une amende pécuniaire d’un montant de 3 millions d’euros.

Il convient de noter que la distinction du montant maximal de l’amende (150 000€ au premier manquement puis 300 000 euros ou 5% du chiffre d’affaires en cas de réitération du même fait dans un délai de 5 ans) suivant que le responsable du traitement était sanctionné pour un premier manquement à la réglementation ou avait réitéré des faits déjà sanctionnés par la CNIL a été supprimée.

Par ailleurs, il résulte de l’article 65 de la loi pour une République numérique que l’amende de 3 millions d’euros désormais prévue à l’article 47 de la loi Informatique et Libertés aura vocation à s’appliquer au-delà du 25 mai 2018 pour tout manquement qui n’entrerait pas dans le champ d’application du RGPD. Pour davantage d’information, nous vous proposons de lire notre article dédié à cette question.