Le projet de loi « Informatique et Libertés » 2

Le projet tant attendu de Loi Informatique et Libertés 2 a été finalement présenté par le Gouvernement le 14 mai dernier. Le nouveau texte doit adapter la législation française au nouveau cadre juridique européen, instauré par le Règlement général de protection des données personnelles. On examine dans cet article les principales dispositions du projet.

Le Gouvernement a choisi de ne pas abroger la loi de 1978 mais de l’adapter. Le projet de loi comprend cinq titres :

  • le titre Ier (articles 1er à 7) porte sur les dispositions communes au règlement et à la directive ;
  • le titre II (articles 8 à 17) porte sur les marges de manœuvre permises par le règlement ;
  • le titre III (articles 18 et 19) contient les dispositions portant transposition de la directive ;
  • le titre IV (article 20) habilite le Gouvernement à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires pour améliorer l’intelligibilité de la législation applicable à la protection des données ;
  • le titre V (articles 21 à 24) regroupe les dispositions diverses et finales.

Cette nouvelle loi instaure davantage de transparence pour les internautes français s’agissant de l’utilisation qui est faite de leurs données personnelles. Les citoyens auront également des nouveaux droits, comme le droit à l’effacement des données (le fameux « droit à l’oubli ») et le droit à la portabilité des données. Le projet de loi renforce les droits des personnesen créant un droit à l’information de la personne concernée par les données personnelles traitées en matière pénale et l’exercice direct par elle des droit d’accès, de rectification et d’effacement des données. Le traitement de données personnelles relatives à la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale est interdit. Il est également interdit de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne.

Les apports de cette nouvelle législation 

La nouvelle législation prévoit notamment :

  • Article1er: Confie de nouvelles missions à la CNIL pour favoriser un environnement juridique sécurisé.
  • Article 3: Prévoit que les membres de la CNIL délibèrent hors de la présence des agents de la commission ainsi que la présence facultative et non plus obligatoire du commissaire du Gouvernement auprès de la CNIL lors des délibérations de la Commission en formation restreinte , sans participation au délibéré.
  • Article 4: Précise le cadre d’intervention des agents et membres de la CNIL en cas de contrôle de la mise en œuvre des traitements (contrôles sur place ; communication de tous documents…).
  • Article 8: Permet d’appliquer la loi nationale dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France en cas de divergences de législations entre États membres de l’Union européenne liées aux marges de manœuvre laissées à ces derniers sur plusieurs points.
  • Article 11: Précise les conditions dans lesquelles le législateur entend autoriser le traitement de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ;
  • Article 13: Prévoit que pour les traitements contenant des données concernant la santé des personnes justifiés par une finalité d’intérêt public, des référentiels, des règlements types et des méthodologies de référence peuvent être établies par la CNIL, en concertation avec l’Institut national des données de santé.
  • Article 20: Habilite le Gouvernement à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires pour améliorer l’intelligibilité de la législation applicable à la protection des données.

La majorité numérique à 15 ans

Pour les mineurs de moins de quinze ans, le consentement de l’autorité parentale sera nécessaire pour le traitement des données personnelles sur les réseaux sociaux. C’est à partir de quinze ans qu’un mineur pourra s’inscrire sur des réseaux sociaux sans autorisation parentale (le texte initial prévoyait seize ans). Entre 13 ans et 15 ans, le consentement de l’enfant et celui de ses parents seront nécessaires. Au-dessous de 13 ans, toute collecte de données est interdite.

L’action de groupe pour une indemnisation financière

Le préjudice « d’ordre matériel ou moral » peut ouvrir à une indemnisation financière. Cette nouvelle législation crée un droit à des actions de groupe pour demander réparation en cas d’utilisation abusive des données personnelles. Des poursuites peuvent être engagées à l’encontre d’un responsable de traitement de données ou d’un sous-traitant.

Un contrôle a posteriori pour les entreprises

Pour les acteurs économiques, le texte remplace le système de contrôle a priori, basé sur les régimes de déclaration et d’autorisation préalables, par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques en matière de protection des données. En contrepartie, les pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL) sont renforcés, et les sanctions encourues pourront atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondialconsolidé.

Les sociétés détentrices de données sont responsables des informations privées collectées. Elles devront envisager la protection et seront obligées de prévenir rapidement la CNIL, en cas de perte, de vol ou de divulgation non autorisée des informations.

Les formalités préalables sont maintenues pour les données les plus sensibles :

  • Les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes,
  • Les données génétiques,
  • Les données utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques ou,
  • Les données de santé : cette loi va mettre en place de nouvelles mesures relatives aux traitements de données de santé à caractère personnel et précise l’utilisation de ces données par les industriels, qui en ont besoin pour innover. L’enjeu était de trouver un véritable équilibre entre protection des données personnelles de santé et innovation.

La constitutionnalité de cette loi 

Saisi le 16 mai 2018 d’un recours déposé par au moins soixante sénateurs, le Conseil constitutionnel a, dans sa décision n° 2018-765 DC[1]du 12 juin 2018, jugé l’essentiel du texte conforme à la Constitution.

Les sénateurs contestaient l’article 13 qui modifie l’article 9 de la loi du 6 janvier 1978 pour fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes. L’article prévoit que de tels traitements peuvent être effectués « sous le contrôle de l’autorité publique ».

Le Conseil constitutionnel a, en revanche, jugé contraire à la Constitution les mots « sous le contrôle de l’autorité publique ». Il estime que le législateur n’avait pas pleinement exercé sa compétence en ne déterminant pas lui-même ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d’un tel traitement de données, affectant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques.

Une possible ordonnance à venir

Après avis de la CNIL, le gouvernement prendrait, dans les six mois suivant la promulgation de la loi une ordonnance.

Cette ordonnance porterait sur la possible réécriture de l’ensemble de la loi « informatique et libertés » pour apporter des corrections formelles. Cela apporterait des adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre du droit de l’Union Européenne.

Elle porterait aussi sur la mise en cohérence avec ces changements, les modifications rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes. Il y a un certain besoin de remédier aux éventuelles erreurs et omissions résultant du projet de loi et d’abroger les dispositions devenues sans objet.

En conclusion

Une nouvelle loi « informatique et libertés » était clairement, du fait de l’évolution des méthodes et technologies de traitement des données personnelles, devenue nécessaire. L’entrée en vigueur du RGPD l’a rendue obligatoire, comme l’invitation qui était faite aux Etats membres de l’Union Européenne de prévoir des « dérogations nationales » à l’application du règlement au terme de l’article 23 du texte européen. Il reste que le règlement est maintenant une réalité et que, du fait de la présentation tardive du projet de loi, il existe un certain nombre d’incertitudes quant à la formulation finale des règles auxquelles les responsables de traitement en France ou basés hors de France, voire de l’Union Européenne, mais qui traitent des données personnelles de résidents français seront soumis. De cette situation quelque peu dommageable il découle pour les responsables de traitement, les sous-traitants, voire les personnes concernées par ces données qu’ils devront se baser sur les guides et autres décisions publiées par la CNIL pour comprendre l’interprétation qui est faite en France du RGPD.

 

[1]Décision n° 2018-765 DC: http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2018/2018-765-dc/decision-n-2018-765-dc-du-12-juin-2018.151485.html

Cet article a été rédigé en collaboration avec Sarah Lasson

Par |2018-06-21T14:31:05+00:0018 juin 2018|France - fr|0 commentaire

À propos de l'auteur :

Laisser un commentaire