Le « paquet européen de protection des données » a vocation à entrer en application en mai 2018. Il est composé du Règlement général sur la protection des données (règlement n°2016/679 dit RGPD)  et de la directive n°2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes dans la sphère pénale.

Face à cette évolution de la réglementation, le choix symbolique a été fait de conserver la loi n°78-17 du 6 janvier 1978 dite loi Informatique et Libertés, tout en la révisant pour l’adapter au nouveau cadre de protection des données.

La loi relative à la protection des données personnelles, aussi connue sous le nom de « CNIL 3 », doit être promulguée avant mai 2018. Où en sommes-nous de l’adoption du projet de loi ? Quels points nouveaux ressortent de la version du texte adopté par le Sénat ?

Où en est le projet de loi ?

Nous avions évoqué avec vous le projet de loi initial de décembre 2017. Le texte a été modifié par les députés puis adopté en première lecture par l’Assemblée Nationale le 13 février 2018. Le texte a ensuite été discuté puis voté par le Sénat en première lecture le 21 mars 2018.

Le texte a été adopté dans des versions différentes devant l’Assemblée Nationale et devant le Sénat. La commission mixte paritaire doit donc aboutir à une nouvelle version du texte susceptible de faire consensus entre les deux chambres du Parlement.

Mathias Avocats fait le point sur certaines modifications significatives issues de la nouvelle version du projet de loi.

L’obligation d’information renforcée

En vertu du RGPD, le responsable du traitement est tenu à une obligation d’information à l’égard de la personne concernée (articles 12 et suivants du RGPD).

Les sénateurs ont étendu cette obligation. Il serait désormais obligatoire de fournir également l’identité et les coordonnées de ses sous-traitants, et le cas échéant de leurs représentants. Plus encore, les sénateurs souhaitent que les stipulations relatives à la protection des données à caractère personnel issues de chaque contrat de sous-traitance soient mises à la disposition de la personne concernée (article 19 du projet de loi, alinéa 6).

A noter que cet amendement a fait l’objet d’un avis défavorable du gouvernement : il va au-delà de ce que dispose le RGPD. Il pose également la question de la lisibilité des mentions d’informations à destination des personnes concernées, ainsi que celle de la confidentialité des contrats de sous-traitance.

Le droit à la récupération des données en débat

Le RGPD introduit un droit à la portabilité des données pour les personnes concernées, que nous vous avons exposé dans un précédent article. La loi pour une République Numérique du 7 octobre 2016, dite loi Lemaire, avait entendu doubler ce droit d’un « droit à la récupération des données », destiné au consommateur et censé couvrir des données à caractère non personnel.

La mise en œuvre de ces deux droits risquait pour les députés d’engendrer des difficultés d’interprétation, notamment quant au périmètre des données couvertes. C’est pourquoi ils avaient intégralement supprimé ce droit (article 20 bis du projet de loi issu de l’Assemblée Nationale). Les sénateurs ont adopté la position inverse et décidé de rétablir le droit à la récupération des données. Ils affirment en effet que ces deux droits ne couvrent pas, en pratique, les mêmes types de données.

La création d’un abus de position dominante numérique

Sur ce point, les sénateurs ont souhaité aborder un sujet qui sort du périmètre du RGPD et de la directive. Ils font état d’inquiétude face aux monopoles ou quasi-monopoles de certains acteurs dans le monde du numérique. Les sénateurs font référence à la vente de terminaux qui s’accompagne aujourd’hui très fréquemment de l’achat obligatoire d’une licence pour un système d’exploitation précis, sans laisser le choix à l’acheteur. Les débats parlementaires évoquent également la question des applications pré-installées sur les terminaux mobiles, là encore sans qu’un choix ne soit laissé à l’acheteur.

En conséquence, les sénateurs ont entendu instaurer une définition de l’abus de position dominante dans le domaine numérique. L’article 17 ter du projet de loi tel qu’adopté par le Sénat intégrerait un article L.420-2-3 dans le Code de commerce, prohibant « 

[…] l’exploitation abusive par une entreprise […] d’une position dominante sur le marché des services de communication au public en ligne ayant pour objet ou pour effet de subordonner de façon substantielle sur le marché des équipements terminaux la vente d’un tel équipement à l’achat concomitant d’un tel service ».

Cette nouveauté est à lier à l’article 17 bis du projet de loi qui introduit une obligation nouvelle pour les responsables de traitements fondé sur le consentement amenés à conclure eux-mêmes des contrats portant sur des équipements ou des services par lesquelles sont traitées les données. Les responsables de traitements dans cette situation devront pouvoir démontrer que ces contrats ne font pas obstacle au consentement de l’utilisateur final.

L’établissement d’une liste des traitements soumis à consultation préalable

Le projet de loi introduit l’obligation pour les responsables de traitements ou sous-traitants envisageant de mettre en œuvre un traitement présentant un risque élevé pour les libertés et les droits des personnes concernées de procéder à une consultation de la Commission nationale de l’informatique et des libertés (CNIL) préalablement à la mise en œuvre du traitement. Cette obligation s’ajoute à la nécessité d’effectuer une analyse d’impact préalable. Il est spécifié que ces risques émanent en particulier de « l’utilisation de nouveaux mécanismes, technologies ou procédures » (article 19 du projet de loi, alinéa 13).

Les députés avaient donné à la CNIL la simple faculté de dresser une liste des traitements soumis à consultation préalable. Les sénateurs ont décidé de transformer cette simple faculté en obligation pour la CNIL, contre l’avis du gouvernement. Une telle liste donnerait une meilleure visibilité aux responsables de traitements, mais lierait la CNIL.

Le recours au chiffrement de bout en bout obligatoire

Les sénateurs souhaitent que le recours au chiffrement de bout en bout soit obligatoire chaque fois que sa mise en oeuvre est possible dans un traitement (article 10 bis nouveau du projet de loi). Sur ce point, la Garde des Sceaux Madame Nicole Belloubet a indiqué qu’il s’agirait d’une obligation excessive, puisque c’est au responsable de traitement d’estimer les mesures techniques appropriées, sous le contrôle de la CNIL.

La certification d’objets connectés par la CNIL

Les sénateurs ont introduit dans le texte de loi une possibilité pour la CNIL de certifier des objets connectés destinés aux consommateurs comme étant conformes au RGPD. Cette certification interviendrait si les objets connectés permettent de désactiver la collecte des données et répondent à de hautes exigences en matière de sécurité. Les modalités exactes de cette certification seraient à déterminer par décret.

A noter que le gouvernement a exprimé un avis défavorable à cet amendement. La Garde des Sceaux, Madame Nicole Belloubet, a en effet indiqué que la CNIL disposait déjà d’une faculté générale de certifier conformes des produits, systèmes ou procédures, prévues par le projet de loi (article 1 alinéa 13) et par le RGPD (article 42). De plus, des discussions sont en cours au niveau européen pour introduire une certification par l’ENISA des objets connectés, afin de garantir leur niveau de sécurité.

L’encadrement du rôle des algorithmes dans les décisions de justice

La justice prédictive est en passe de devenir une réalité quotidienne pour les juges et les auxiliaires de justice. Afin d’encadrer cette évolution et de faire en sorte qu’elle ne mène pas à une atteinte aux droits et aux libertés des personnes concernées, les sénateurs ont introduit une nouvelle disposition au sein de l’article 14 du projet de loi, disposant que l’appréciation de la personnalité d’une personne concernée nécessaire au rendu d’une décision de justice ne pourra avoir pour fondement un traitement automatisé de données à caractère personnel.

La création d’une dotation pour la conformité des collectivités territoriales

Soucieux de permettre aux collectivités territoriales d’assurer leur conformité, les sénateurs ont voté la création d’une enveloppe pour les aider à financer leur conformité au RGPD (article 19 bis nouveau du projet de loi). Celle-ci serait financée par les recettes de l’État et déterminée en fonction du nombre d’habitants dans la collectivité concernée.

Le gouvernement a exprimé un avis défavorable à cet amendement, et il sera sans doute difficile aux sénateurs de convaincre les députés de voter cette allocation budgétaire importante.

La qualité de militaire, nouvelle donnée sensible ?

En écho à l’actualité marquée par la lutte anti-terroriste, les sénateurs ont souhaité renforcer la protection des militaires. Via un nouvel article 13 ter du projet de loi, les sénateurs font de la qualité de militaire de la personne concernée une donnée particulière.

Le responsable d’un traitement qui souhaiterait collecter la qualité de militaire de la personne concernée ne pourrait le faire que si cela est strictement nécessaire à l’une des finalités. De plus, si le traitement n’est pas mis en œuvre pour le compte de l’État, d’une collectivité territoriale ou d’un groupement de collectivités territoriales, le responsable du traitement devra informer le ministre compétent de la mise en œuvre de ce traitement. En cas de besoin, une enquête administrative pourra être menée sur les personnes ayant accès à la mention de la qualité de militaire.

En l’état, le projet de loi demeure difficile à lire, y compris pour les praticiens. C’est la raison pour laquelle les sénateurs ont introduit une habilitation à légiférer par ordonnance pour le gouvernement. Cette habilitation lui permettra de réécrire la loi Informatique et Libertés pour en améliorer la lisibilité et corriger d’éventuelles erreurs. Ces ordonnances devront être prises dans un délai de 4 mois et seront soumises à un avis préalable de la CNIL (article 20 du projet de loi).

Mathias Avocats ne manquera pas de vous tenir informer de toute évolution sur le contenu de ce projet de loi.