Destiné à mettre le droit français en conformité avec le RGPD-GDPR, le projet de loi sur la protection des données personnelles a été adopté par l’Assemblée nationale (1).
Rappelons que le Gouvernement a engagé une procédure accélérée sur le projet de loi adaptant le droit français au règlement (2) ; ce qui signifie qu’il n’y aura en principe qu’une seule lecture par chambre.
Le projet de loi a été discuté à l’Assemblée nationale ces dernières semaines ; d’abord, en commission des lois du 23 au 25 janvier, puis en séance publique les 6 et 7 février.
De l’avis même de Mme Christine Hennion (3), rapporteure, il s’agit d’un texte « de portée mondiale, puisqu’il devra être appliqué par tout organisme traitant les données personnelles des résidents européens, (…) fondateur pour la garantie des libertés dans le monde numérisé du XXIe siècle ».
Il a donné lieu à 412 amendements (4) dont plus de la moitié a été adoptée parmi lesquels figurent quelques dispositions « clés » comme : l’élargissement de l’action de groupe, le consentement des mineurs abaissé à 15 ans, les pouvoirs renforcés de la Cnil et les montants beaucoup plus dissuasifs des amendes.
RGPD-GDPR : l’élargissement de l’action de groupe
L’action de groupe fait partie du paysage légal français depuis la loi 2016-1547 du 18 novembre 2016 (5). Ouverte lorsque plusieurs personnes physiques subissent un dommage ayant pour cause commune un manquement à la loi de 1978, cette action permet d’en obtenir la cessation.
L’action de groupe ne vise ici que l’arrêt d’un traitement illicite. Aucune réparation pour le dommage subi ne peut être demandée dans le cadre d’une action de groupe.
De son côté, le règlement général sur la protection des données (RGPD-GDPR) laisse la possibilité aux États membres d’adopter des dispositions autorisant des actions collectives avec mandat tendant à la réparation du préjudice subi.
Le RGPD prévoit un dispositif à l’article 80 qui permet à la fois de mettre fin aux manquements et d’envisager la réparation en offrant aux personnes concernées de mandater des organismes, organisations ou associations afin d’introduire une réclamation en leur nom devant l’autorité de contrôle et d’obtenir réparation sous certaines conditions (6).
RGPD-GDPR : l’intégration du droit à réparation
La question de l’intégration du droit à réparation dans notre législation interne a resurgi lors des débats. Les députés ont souhaité pousser plus loin l’action de groupe, afin qu’elle ne concerne pas uniquement la constatation du manquement, mais qu’elle puisse se traduire par des droits à réparation et, le cas échéant, par des dommages et intérêts.
Un amendement adopté lors de l’examen en commission des lois introduit la possibilité d’exercer une action de groupe dans le domaine de la protection des données personnelles aux fin de réparation du dommage causé par un manquement aux dispositions de la loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés, par un responsable de traitement de données à caractère personnel ou un sous-traitant. Les victimes pourront donc demander une réparation de leur préjudice (7).
L’article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié : Le III est remplacé par un alinéa ainsi rédigé « Cette action peut être exercée en vue soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. »
RGPD-GDPR : le consentement des mineurs abaissé à 15 ans
La commission des lois a abaissé à quinze ans l’âge à partir duquel un mineur peut consentir seul au traitement des données personnelles en ce qui concerne l’offre directe de services de la société de l’information (les réseaux sociaux). Cette question a été l’occasion d’un véritable débat de fond mené lors des auditions entre l’ensemble des acteurs et la commission des lois.
L’article 8 du RGPD fixe l’âge légal du consentement des mineurs à seize mais permet aux Etats membres d’abaisser ce seuil à condition qu’il ne soit pas inférieur à treize ans. L’âge du consentement des enfants ne fait pas l’objet d’un consensus européen et l’on constate qu’il existe différentes situations : l’Irlande, la République tchèque et le Royaume-Uni s’orienteraient vers l’âge de treize ans, l’Espagne vers celui de quatorze ans, la Croatie et la Grèce vers celui de quinze ans, l’Allemagne et le Luxembourg ayant maintenu l’âge initial de seize ans (8).
La commission des lois a abaissé ce seuil de manière consensuelle, à 15 ans, « âge où le mineur entre généralement au lycée et où sa maturité lui permet en principe de maîtriser les usages sur internet », selon Madame Paula Forteza, rapporteure du texte (9).
RGPD-GDPR : l’information des mineurs
Un amendement a été adopté qui clarifie les règles applicables aux mineurs de moins de quinze ans, afin d’exiger expressément le double consentement du mineur et de ses parents pour que le traitement des données soit licite (10). Ainsi « Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le titulaire de la responsabilité parentale à l’égard de ce mineur » (Art. 7-1 nouveau, Loi 78-17).
Un autre amendement a été adopté permettant de renforcer les modalités de contrôle des responsables afin qu’ils puissent informer au mieux les mineurs de moins de quinze ans pour que ces derniers soient en mesure de savoir comment leurs données personnelles sont traitées, ainsi que la manière dont elles le sont (11).
Ainsi, « Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne » (Art. 7-1 nouveau, Loi 78-17). Il s’agit du droit d’être informé clairement de l’étendue du traitement réalisé.
RGPD-GDPR : les pouvoirs renforcés de la Cnil
Le projet de loi étend les pouvoirs de la Cnil. Cette dernière peut :
- établir et publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements, encourager le développement de code de conduite et publier des méthodologies de référence pour la recherche médicale ;
- prescrire des mesures de sécurité techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé (sauf pour les traitements mis en œuvre pour le compte de l’Etat) ;
- décider de certifier des personnes, des produits, des systèmes de données ou des procédures de certification ;
- établir une liste de traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable de la Cnil ;
- présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du RGPD ou la loi Informatique et Libertés (Art. 11, Loi 78-17).
Un amendement a en outre été adopté pour permettre à la Cnil d’être saisie par les présidents de groupes parlementaires de l’Assemblée nationale et du Sénat sur toute proposition de loi relative à la protection des données personnelles (12).
D’autres dispositions concernent le pouvoir d’investigation de la Cnil et notamment le droit des agents habilités d’utiliser une identité d’emprunt pour les investigations en ligne (Art. 44 Loi 78-17).
RGPD-GDPR : les amendes dissuasives
Le projet de loi renforce également les pouvoirs de sanctions de la Cnil avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné. Il modifie aussi les procédures de sanction ; la Cnil peut notamment décider d’une injonction assortie d’une astreinte d’un montant maximum de 100 000 euros par jour (Art. 45 Loi 78-17).
Le régime de sanctions s’applique non seulement au responsable de traitement mais aussi au sous-traitant conformément au RGPD.
Un amendement porté par Paula Forteza, rapporteure du texte, prévoyait que la Cnil puisse, sous certaines conditions, opérer un contrôle a posteriori des fichiers de sûreté de l’Etat (13). En l’état du droit, les pouvoirs de contrôle général de la Cnil ne s’appliquent pas à ces fichiers, et « il n’existe donc, à l’heure actuelle, aucun contrôle en aval de ces fichiers, permettant de garantir qu’ils sont mis en œuvre dans le respect de la protection des données personnelles (…) ».
Pour la Garde des Sceaux Nicole Belloubet, le contrôle de la CNCTR (14) lors de leur mise en œuvre suffit. L’amendement 124 a donc été retiré.
Les prochaines étapes
L’Assemblée nationale a donc adopté le projet de loi. Il sera transmis au Sénat qui l’examinera à son tour à partir du 20 mars. L’adoption définitive du texte devrait intervenir avant le 25 mai 2018, le règlement européen entrant en application à cette date.
Le Gouvernement a enfin fait le choix de conserver, dans un souci d’intelligibilité, l’architecture de la loi « informatique et libertés ». Les modifications apportées à notre droit par ce projet de loi seront codifiées, par voie d’ordonnance, dans la loi fondatrice de 1978 afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique (15).
Alain Bensoussan
Isabelle Pottier
Lexing Alain Bensoussan Avocats
(1) TA n° 84 Ass. Nat. 13 février 2018, scrutin public n° 389.
(2) Cf. notre post du 15 décembre 2017.
(3) Rapport d’information (n° 577) de Mme Christine Hennion déposé par la commission des affaires européennes portant observations sur le projet de loi relatif à la protection des données personnelles (n° 490).
(4) 162 amendements en 1ère lecture en hémicycle à l’Assemblée nationale les 6 et 7 février 2018 et 174 amendements en 1ère lecture à la Commission de lois de l’Assemblée nationale du 23 au 25 janvier 2018.
(5) Loi 2016-1547 de modernisation de la justice du XXIe siècle, voir « Action de groupe et protection des données personnelles », post du 22 décembre 2016.
(6) Cf. notre Ouvrage, « Le Règlement européen sur la protection des données : textes, commentaires et orientations pratiques », Editions Larcier 2e éd. 2018.
(7) Amendement n° 262 portant article additionnel avant l’article 16 adopté, présenté par Mme Forteza, rapporteure.
(8) Compte rendu intégral de la deuxième séance du mercredi 07 février 2018.
(9) Rapport n° 592 de Mme Paula Forteza, p. 155.
(10) Amendement n° 103 portant article additionnel avant l’article 14 adopté, présenté par Mme Forteza, rapporteure.
(11) Amendement n° 154 portant article additionnel après l’article 14 adopté, présenté par M. Philippe Gosselin.
(12) Amendement n° 104 portant sur l’article 1er adopté, présenté par M. Stéphane Peu.
(13) Huit fichiers sont aujourd’hui concernés : les fichiers de la direction générale de la sécurité intérieure (DGSI) ; de la direction générale de la sécurité extérieure (DGSE) ; SIREX de la direction du renseignement et de la sécurité de la défense (DRSD) ; de la direction du renseignement militaire (DRM) ; BCR-DNRED de la direction nationale du renseignement et des enquêtes douanières (DNRED) ; de personnes étrangères mis en œuvre par la DRM, dénommé Gestion du terrorisme et des extrémismes violents (GESTEREXT) ; mis en œuvre par la préfecture de police et le fichier dénommé “ BIOPEX ” mis en œuvre par la DRM.
(14) Commission nationale de contrôle des techniques de renseignement.
(15) Communiqué de la Chancellerie du 13 décembre 2017.