Le « paquet européen de protection des données », composé du Règlement général sur la protection des données (règlement n°2016/679, dit RGPD) et de la directive n°2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes dans la sphère pénale, a vocation à entrer en application en mai 2018.

Il introduit de nombreux changements tels que de nouveaux outils de conformité, une responsabilisation des acteurs, des mesures de sécurité renforcées ou encore de nouveaux droits pour les personnes concernées. Ces textes européens uniformisent et simplifient les règles auxquelles sont soumis les acteurs du traitement des données à caractère personnel.

Dans ce cadre, le Gouvernement a présenté, le 13 décembre 2017, un projet de loi relatif à la protection des données à caractère personnel adaptant au droit de l’Union européenne la loi n°78-17 dite « Informatique et Libertés ». Ce projet de loi doit permettre l’adaptation du droit français de la protection des données à caractère personnel à la lumière des textes européens précités.

Mathias Avocats revient sur le projet de loi et plus particulièrement sur les dispositions relatives au RGPD.

Les points clés du projet de loi

Il convient de souligner que le RGPD est d’application directe, ce qui n’est pas le cas de la directive qui doit être transposée le 6 mai prochain au plus tard. Toutefois, le RGPD renvoyant certains aspects de conformité au législateur national, le cadre juridique français doit être adapté pour en tenir compte. Dans ce contexte, le projet de loi apporte des précisions sur plusieurs points détaillés ci-dessous.

Élargissement des pouvoirs de la Cnil et précision de ses missions

Sans surprise, le projet de loi identifie la Commission nationale de l’informatique et des libertés (Cnil) comme « autorité nationale de contrôle » au sens du RGPD et lui confie de nouvelles missions au regard de la démarche de responsabilisation des acteurs adoptée par le RGPD.

A ce titre, l’article 1 du projet de loi énonce que la Cnil pourra notamment établir et publier des lignes directrices, publier des méthodologies de référence pour le traitement de données à caractère personnel de santé (ce qu’elle a déjà commencé à faire dans le domaine de la recherche) ou encore certifier des personnes, des produits, des systèmes ou des procédures aux fins d’en démontrer la conformité avec le RGPD et le droit national. Dès lors, à titre d’illustration, le projet de loi semble ouvrir à la voie à la certification, entre autres, des délégués à la protection des données.

En outre, le projet de loi précise le cadre d’intervention des agents et membres de la Cnil en cas de contrôle de la mise en œuvre des traitements (article 4). Il est à noter que les agents pourraient être autorisés à utiliser une identité d’emprunt lors de la réalisation de contrôles en ligne.

Par ailleurs, le secret demeure opposable aux agents de la Cnil dans un cadre très limité. Seuls trois secrets seront opposables : le secret professionnel applicable aux relations entre un avocat et son client, le secret des sources des traitements journalistiques et le secret médical.

Procédure de coopération des autorités de contrôle

Le RGPD prévoit une procédure de coopération entre les différentes autorités de contrôle nationales (articles 60 à 62). Dans cette perspective, le projet de loi précise les modalités de cette procédure de coopération notamment lorsqu’une opération de contrôle conjointe se déroule sur le territoire français. Ainsi, « les membres ou agents habilités de la Commission, agissant en tant qu’autorité de contrôle d’accueil, sont présents aux côtés des membres et agents des autres autorités de contrôle participant, le cas échéant, à l’opération » (article 5). A ce titre, les agents ou membres d’une autorité de contrôle européenne pourraient être habilités par la Cnil à exercer les pouvoirs de vérification et d’enquête dont disposent les membres et agents de la Commission.

Lorsque la Cnil agit en tant qu’autorité chef de file, elle sera tenue de communiquer le rapport du membre rapporteur et toutes informations utiles à la procédure aux autorités de contrôle concernées. Cependant, les conditions d’application de cette procédure seront précisées dans un décret du Conseil d’Etat.

Conflits de lois

Le RGPD laisse une certaine marge de manœuvre aux Etats membres (ex : pouvoirs des autorités de contrôle, etc.), raison pour laquelle de nombreux pays ont déjà entamé un processus de révision de leur cadre national de protection des données.

Dans ce contexte, en cas de divergences entre les lois nationales des Etats membres, le projet de loi prévoit que « les règles nationales (…) s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable du traitement n’est pas établi en France » (article 8).

Suppression des formalités préalables et responsabilisation des acteurs de traitements des données à caractère personnel

Rappelons que le RGPD adopte une logique de responsabilisation tant à l’égard des responsables du traitement qui sont soumis à de nouvelles obligations (ex : privacy by design et privacy by default, analyse d’impact relative à la protection des données à caractère personnel, etc.), qu’à l’égard des sous-traitants qui sont directement soumis à des obligations, notamment de sécurité, d’élaboration de registre des traitements ou encore de coopération avec le responsable du traitement. Etant précisé que les sous-traitants seront en outre responsable de leurs manquements vis-à-vis de l’autorité de contrôle (article 83 du RGPD).

Le projet de loi supprime le régime de déclaration préalable prévu aux articles 22 à 24 de la loi « Informatique et Libertés » (articles 9 et 10 du projet de loi). Cependant, une formalité préalable demeure pour les traitements qui nécessitent l’utilisation du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. Ce type de traitement ne pourra être mis en œuvre qu’après un décret du Conseil d’Etat et avis motivé et publié de la Cnil.

Les voies de recours disponibles

L’article 16 du projet de loi  prévoit un nouvel article 43 quarter à la loi « Informatique et Libertés ». Une personne concernée pourra mandater une association ou une organisation aux fins d’exercer en son nom une réclamation auprès de la Cnil, un recours juridictionnel contre la Cnil ou contre un responsable du traitement ou un sous-traitant. Ce droit est notamment prévu à l’article 80, 1° du RGPD.

L’association ou l’organisation exerçant le droit devra répondre aux conditions de l’article 43 ter de la loi « Informatique et Libertés », créé par que la loi n°2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIème siècle, qui prévoit les conditions de la saisine du juge judiciaire ou administratif dans le cadre d’une action de groupe afin de faire cesser un manquement à la loi «Informatique et Libertés ».

De plus, la Cnil dispose également d’une nouvelle voie de recours. Lorsqu’un transfert de données à caractère personnel vers des États non membres de l’UE ou des organisations internationales présente des risques pour la protection des droits et libertés des personnes concernées, elle peut demander au Conseil d’État d’ordonner, dans l’attente de l’appréciation par la Cour de justice de l’Union européenne de la validité de la décision d’adéquation ou de garanties appropriées approuvées par la Commission européenne, la suspension ou la cessation du transfert de données en cause, le cas échéant sous astreinte.

Focus sur l’intelligibilité de la législation applicable à la protection des données

Depuis la publication du projet de loi, les commentaires sur le manque de lisibilité et d’intelligibilité du texte n’ont pas manqué. A cet égard, il convient de souligner que l’article 20 du projet de loi habilite le Gouvernement à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires notamment à « la réécriture de l’ensemble de la loi n° 78-17 (…) afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le RGPD » et pour mettre en cohérence avec ces changements « l’ensemble de la législation applicable à la protection des données à caractère personnel ».

Ces mesures ont pour objectif d’harmoniser l’ensemble de la législation applicable à la protection des données à caractère personnel. Au regard des changements importants entraînés par l’entrée en application du RGPD, la cohérence, l’intelligibilité et la transparence de cet ensemble législatif semble indispensable.

L’avis de la Cnil sera requis pour l’ordonnance de réécriture. A compter de la publication de cette dernière, le Gouvernement disposera d’un délai de 6 mois pour déposer un projet de loi de ratification devant le Parlement.

L’avis de la Cnil et du Conseil d’Etat

La Cnil estime que « le projet de loi joue pleinement le jeu du Règlement et de l’harmonisation recherchée par celui-ci » (Délibération n°2017-299 du 30 novembre 2017). Cependant, elle souligne la tardiveté du projet de loi, ce qui rend la mise en conformité pour le 25 mai 2018 plus difficile. En outre, la Cnil souligne également le manque de lisibilité du projet de loi. Elle appelle à l’adoption la plus rapide possible de l’ordonnance de réécriture de la loi « Informatique et Libertés » par le Gouvernement.

Certaines des observations de la Cnil se retrouvent dans l’avis rendu par le Conseil d’Etat le 7 décembre 2017 (CE, avis n°393836, 7 décembre 2017). En effet, le Conseil d’Etat met lui aussi en exergue le manque de lisibilité du projet de loi. Il proposait deux types de dispositions pour y remédier, notamment une habilitation pour le Gouvernement à procéder par ordonnance à une remise en forme et en cohérence l’ensemble de la législation applicable à la protection des données à caractère personnel. Il semble que ce conseil ait été suivie et intégrée à l’article 20 du projet de loi.

Mathias Avocats ne manquera pas de vous tenir au courant des prochaines étapes.