L’Assemblée Nationale adopte le projet de nouvelle loi informatique et libertés
Projet de loi relatif à la protection des données personnelles, adopté par l’Assemblée Nationale en première lecture le 13 février 2018
Cinq mois avant l’entrée en application du Règlement Général sur la Protection des Données (« RGPD »), le gouvernement avait présenté son projet de loi visant à adapter la loi « informatique et libertés » française à ce texte européen d’importance cruciale pour la protection des données personnelles. Le projet s’attache également à transposer la Directive 2016/680, relative aux « traitements de préventions et de détection des infractions pénales, d’enquête et de poursuites en la matière ou d’exécution des sanctions pénales », adoptée parallèlement au RGPD.
Après l’examen de très nombreux amendements, l’Assemblée Nationale a adopté ce projet, dont voici les principaux points à retenir.
· Les nouveaux pouvoirs de la CNIL
– Lignes directrices, recommandations, référentiels et règlements types : l’abandon des formalités préalables ne s’accompagnera pas d’un allégement de la charge de travail de la CNIL et du cadre réglementaire. Au contraire, celle-ci aura notamment la possibilité de convertir ses anciennes « normes simplifiées » en lignes directrices destinées à favoriser la conformité des traitements.
Dans le domaine des traitements biométriques, génétiques et de santé, elle pourra également établir des règlements types de sécurité.
– Liste des traitements susceptibles de créer un risque élevé : le RGPD impose de réaliser des analyses d’impact préalablement à la mise en œuvre de certains traitements présentant un risque élevé pour les droits et libertés des personnes concernées. Si le risque est confirmé à l’issue de cette analyse, il convient alors de consulter la CNIL. Cette dernière pourra désormais publier une liste des traitements a priori concernés par ces procédures.
– Sanctions : outre les nouvelles sanctions financières instaurées par le RGPD (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial), la CNIL conserve la possibilité de mettre préalablement en demeure et de prononcer des sanctions alternatives. En particulier, l’on peut noter la possibilité pour la CNIL d’enjoindre la mise en conformité d’un traitement en accompagnant cette mesure d’une astreinte pouvant aller jusqu’à 100 000 € par jour.
– Autres nouveautés : les dispositions concernant la CNIL sont nombreuses et ne peuvent pas être toutes exposées en détail. Parmi celles-ci, figurent par exemple la faculté pour les agents de la CNIL d’opérer des contrôles en ligne sous un nom d’emprunt, et le droit pour la CNIL d’intervenir devant toute juridiction à l’occasion d’un litige relatif à la législation sur les données personnelles.
· Dispositions prises dans le cadre des « open-provisions » du RGPD
Le RGPD laisse une marge de manœuvre aux Etat-Membres sur de nombreux sujets. Le projet de loi regroupe dans son Titre II les dispositions prises par la France dans ce cadre.
– Application territoriale : les dispositions de la loi française seront applicables « dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France ». Cette règle, qui ne sera pas forcément celle des autres pays membres de l’UE, risque de poser de sérieuses difficultés en pratique et de soumettre un même responsable de traitement à plusieurs législations nationales pour une même activité.
– Extension du champ de l’action de groupe : l’action de groupe fondée sur une violation de la législation sur les données personnelles avait été introduite en 2016 par la loi sur la justice du 21ème siècle. Le projet de loi prévoit désormais qu’une telle action pourra également permettre d’obtenir la réparation des préjudices matériels et moraux subis par les personnes concernées.
– Action individuelle exercée par un tiers : le projet de loi instaure la possibilité pour les associations et organisations syndicales représentant les salariés d’introduire une action de groupe, d’être également mandatées par une personne concernée afin d’exercer, pour son compte, une action individuelle devant la CNIL ou les tribunaux.
– Age minimum pour le consentement des mineurs : le gouvernement avait initialement fait le choix de ne pas se démarquer du RGPD, qui fixe à 16 ans l’âge minimum à partir duquel un mineur peut consentir seul au traitement de ses données dans le cadre des services de la société de l’information. Par voie d’amendement, ce seuil a finalement été abaissé à 15 ans.
En dessous de cet âge, le projet de loi requiert le double consentement du mineur et de son représentant légal, là où le RGPD ne prévoit que celui du représentant légal. La conformité de cette disposition au RGPD pourrait donc être contestée.
– Traitement des données de santé : le projet de loi refonde les dispositions relatives aux traitements des données de santé au sein d’un chapitre spécifique. Pour certains de ces traitements, les formalités préalables continueront d’exister sous la forme de demandes d’autorisation. Le chapitre comporte deux sections, l’une relative aux règles générales s’appliquant à l’ensemble des traitements de données de santé, et l’autre concernant spécifiquement les traitements à des fins de recherche, d’étude ou d’évaluation. L’articulation entre ces deux sections, et plus globalement avec le RGPD, pourrait s’avérer un peu complexe, comme l’a relevé la CNIL dans son avis portant sur le projet.
Le projet de loi comporte également de nombreux renvois vers de futurs décrets, notamment concernant les conditions auxquelles il sera possible de traiter le numéro d’identification des personnes au répertoire national (« NIR »).
L’Assemblée Nationale ayant adopté le projet dans le cadre d’une procédure législative accélérée, il ne manque à présent plus que le vote du Sénat, qui devrait examiner le texte à partir du 20 mars – pour une adoption définitive avant l’entrée en application du RGPD, le 25 mai 2018.