Adoption de la loi sur la protection des données personnelles

protection des donnéesL’Assemblée nationale a définitivement adopté la loi sur la protection des données. Le Conseil constitutionnel est saisi.

La loi sur la protection des données personnelles (1) qui adapte la loi Informatique et libertés (2) au Règlement général sur la protection des données (RGPD) (3) a été définitivement adopté mardi 14 mai, mais le Conseil constitutionnel a été saisi le 16 mai 2018 par le Sénat (4).

Le RGPD prévoit en effet, malgré son statut de règlement, la possibilité pour les Etats membres d’adopter des spécificités locales au nombre de cinquante-six.

Le texte adopté lundi 14 mai transpose également la Directive 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales (5), second volet du paquet data. Dès lors, son titre III ne concerne que les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuite en la matière ou d’exécution de sanctions pénales. C’est notamment le cas de l’article 70-15 relatif à l’obligation pour le responsable de traitement ou le sous-traitant d’établir pour chaque traitement automatisé un journal des opérations de collectes, de modification, de consultation et de communication des données.

Au-delà de la transposition de cette directive, la loi sur la protection des données personnelles adapte le cadre d’intervention de la Cnil au nouveau contexte du RGPD.

Protection des données : les principales modifications

Les principales modifications portent sur :

  • la suppression des formalités préalables
  • la définition des modalités de coopération de la Cnil avec ses homologues européens,
  • la procédure de sanction,
  • l’âge pour le consentement des mineurs.

L’adaptation des pouvoirs de la Cnil

Les prérogatives de la Cnil sont adaptées pour respecter les dispositions du RGPD. Ainsi, la Cnil peut désormais certifier des personnes, des produits, des systèmes ou des procédures afin de reconnaitre leur conformité au Règlement. Elle peut également :

  • agréer des organismes certificateurs sur la base de l’accréditation délivrée par le Cofrac (6) ou
  • décider conjointement avec lui de lui déléguer cet agrément.

Les contrôleurs de la Cnil pourront désormais procéder à des contrôles en ligne sous une identité d’emprunt, sans incidences sur la régularité des constations.

Le projet de loi sur la protection des données personnelles détaille également les modalités de coopération de la Cnil avec ses homologues européennes en particulier en cas de demande d’assistance mutuelle ou d’opération de contrôle conjointe.

La disparition des formalités préalables

Il n’y a plus de déclarations auprès de la Cnil. Seules quelques autorisations préalables demeurent dans trois cas particuliers pour les traitements comportant :

  • le NIR,
  • des données biométriques ou génétiques
  • lorsqu’il s’agit de traitements mis en œuvre pour le compte de l’Etat et effectués à des fins de recherches, d’études ou d’évaluation dans le domaine de la santé.

En ce qui concerne le NIR, la loi sur la protection des données personnelles prévoit l’adoption d’un décret en Conseil d’Etat pris après avis motivé et publié de la Cnil, fixant les catégories de responsables de traitement et les finalités de fichier pour lesquels l’utilisation de cet identifiant sera possible.

Le corpus des autorisations uniques et des normes simplifiées ne devrait pas pour autant disparaître. Le texte investit en effet la Cnil du pouvoir d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements.

Enfin, la loi sur la protection des données personnelles prévoit que la Cnil puisse prononcer des sanctions administratives conformément aux dispositions du RGPD c’est-à-dire jusqu’à 2% ou 4% du chiffre d’affaire annuel mondial d’une entreprise ou 10 ou 20 millions d’euros (le montant le plus élevé étant retenu).

La détermination de l’âge du consentement des mineurs

Le consentement des titulaires de l’autorité parentale pour les traitements mis en œuvre dans le cadre de la délivrance des services de la société de l’information à un mineur sera nécessaire pour les enfants de moins de 15 ans.

Le texte sur la protection des données sera-t-il promulgué d’ici le 25 mai ?

Le Conseil Constitutionnel ayant en effet été saisi le 16 mai 2018, la question se pose. En théorie, selon l’art. 61 de la Constitution, le Conseil doit statuer dans un délai d’un mois, qui peut toutefois passer à huit jours par le Gouvernement en cas d’urgence. Mais en pratique il peut parfaitement statuer sous huitaine sans avoir recours à la procédure d’urgence.

En outre, le texte prévoit l’adoption de nombreux décrets en Conseil d’Etat qui doivent préciser les dispositions applicables. A noter enfin que la loi sur la protection des données personnelles autorise le Gouvernement à adopter par voie d’ordonnance les mesures nécessaires à la réécriture de la loi Informatique et libertés afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence des règles de protection des données. Cette ordonnance prise après avis de la Cnil nécessite une adoption dans les 6 mois à compter de la promulgation de la loi et ratifiée dans un délai de 6 mois à compter de sa publication.

Aurélie Banck
Lexing Conformité RGPD Banque Assurance

Notes

(1) Loi sur la protection des données personnelles, Dossier législatif
(2) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.
(3) RGPD Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(4) Saisine n° 2018-765 du Conseil constitutionnel du 16 mai 2018
(5) Directive n° 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales et à la libre circulation de ces données et abrogeant la décision cadre 2008/977/JAI du Conseil
(6) Cofrac : organisme national d’accréditation français mentionné à l’article 1er, alinéa 13 de la loi et 43 du RGPD.

Retour en haut