">

Le Ministère de la Justice, en collaboration avec le Secrétariat d’État au Numérique, a soumis le 13 décembre 2017 au Parlement son Projet de loi relatif à la protection des données personnelles, qui doit mettre le droit français en conformité avec le RGPD en amendant la loi « Informatique & Libertés » de 1978 avant le 25 mai 2018.

Voici l’ensemble des textes relatifs à ce projet :

- Le Communiqué de presse du Ministère de la justice
- Le Projet de loi
- L’Exposé des motifs
- L’Étude d’impact
- L’Avis du Conseil d’État
- Le résumé de l’Avis de la CNIL
- La Délibération de la CNIL n° 2017-299 du 30 novembre 2017

L’AFCDP avait été reçu en mai 2017 par pour faire entendre la voix des professionnels concernés (les CIL, futurs Délégués à la protection des données). Elle a été à nouveau reçue le 28 novembre 2017 par ce même service. Une délégation de l’AFCDP est auditionnée le 20 décembre par Mme Paula Forteza, Rapporteur pour le projet de loi.

Les adhérents de l’AFCDP expriment actuellement leurs sentiments, remarques et suggestions au sein du réseau social privé qui leur est réservé, afin que soit formalisée la position que l’AFCDP présentera dans le cadre de son audition relative à l’écriture du décret d’application.

Pour rappel, lors de la 12e conférence annuelle organisée le 24 janvier 2018, nous bénéficierons de l’intervention de de M. Thomas Andrieu, Directeur des affaires civiles et du sceau, qui nous dévoilera les coulisses des travaux préparatoires qui ont conduit au projet de loi.

Le législateur a choisi de conserver l’architecture de cette loi, estimant dans ses motifs que « les principes fondateurs dégagés par le législateur il y a près de quarante ans demeurent toujours valables ».

La loi n’a pas pour objectif de répéter le RGPD, celui-ci étant directement applicable.

Il s’agit simplement de corriger les incohérences et d’utiliser les marges de manœuvre laissées aux États Membres. Par conséquent, on ne retrouve rien dans ce texte sur le délégué à la protection des données (par contre celui-ci sera concerné par la refonte du décret d’octobre 2005).

Nous avons extrait quelques points remarquables du projet :

Âge du consentement des mineurs

Le projet de loi ne contenant aucune disposition sur l’âge du consentement, le seuil minimum de 16 ans fixé par le RGPD devient la règle. Le consentement des titulaires de l’autorité parentale sera nécessaire pour que leurs données personnelles soient traitées par les services de la société de l’information, tels que les réseaux sociaux. A titre de comparaison, l’Espagne propose de fixer le seuil à 13 ans.

Pouvoirs de la CNIL

- Le texte stipule que la formation restreinte doit délibérer sans la présence d’agents de la Commission, mais en la présence du Commissaire du gouvernement. Celui-ci pourra également demander une seconde délibération sur toutes les questions ne concernant pas les sanctions

- Les agents de la CNIL pourront procéder aux contrôles en ligne sous une identité d’emprunt, « sans incidence sur la régularité des constatations effectuées ». Un décret en Conseil d’Etat viendra préciser cette possibilité

- L’article 17 donne le pouvoir à la CNIL, à la suite d’une plainte, de « demander au Conseil d’Etat d’ordonner la suspension ou la cessation du transfert de données » et d’« assortir alors ses conclusions d’une demande de question préjudicielle à la Cour de justice de l’Union européenne en vue d’apprécier la validité de la décision d’adéquation de la Commission européenne […] ainsi que de tous les actes pris par la Commission européenne autorisant ou approuvant les garanties appropriées dans le cadre des transferts de données ». (voir notre article sur la menace juridique que fait peser le G29 sur le Privacy Shield - réservé aux membres)

- La CNIL pourra également « être consultée par le président de l’Assemblée nationale ou par le président du Sénat sur toute proposition de loi relative à la protection des données à caractère personnel ».

- En revanche, en ré-écrivant l’article 44, il semble que le projet de loi fasse disparaître la possibilité pour les agents de la CNIL d’être assistés par des experts (non-membres de la CNIL).

Autorisations préalables

- Avec le règlement, les autorisations préalables de la CNIL deviennent l’exception (Le Gouvernement a toutefois fait le choix de maintenir certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, ou ceux utilisant le numéro de sécurité sociales). L’article 22, les imposant, est supprimé. Les consultations préalables ne seront donc plus nécessaires que lorsqu’une analyse d’impact fait ressortir que « le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque. » (d’après l’exposé des motifs).

- Un décret du conseil d’État viendra fixer les catégories de responsable de traitement et les finalités pouvant utiliser le NIR.

Données de santé

Les nouveaux articles 53 à 60 sont consacrés aux données de santé. Les traitements de ces données devront obéir à des référentiels et des règlements types établis par la CNIL en concertation avec l’Institut national des données de santé. Les traitements conformes pourront ensuite être mis en œuvre « à la condition que leurs responsables adressent préalablement à la CNIL une déclaration attestant de cette conformité ».

Droits des individus

Les individus peuvent désormais se faire représenter individuellement dans leurs plaintes auprès de la CNIL ou contre elle par les associations et organisations déjà habilitées par l’article 43 à représenter plusieurs individus dans des actions de groupe.

Décisions individuelles automatisées (DIA)

Le règlement facilite la prise de décision automatisée produisant des effets juridiques sur une personne. Dans le cas des décisions administratives automatisées, le projet de loi stipule que « le responsable du traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions », sans toutefois définir précisément cette « maîtrise du traitement algorithmique ».

Enfin, l’article 20 autorise par ordonnance le gouvernement à ré-écrire la loi « Informatique & Libertés » afin « d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées ». Il dispose d’un délai de six mois après l’adoption de la loi pour le faire.

>>> Pour rester informé des travaux, abonnez-vous gratuitement à la lettre de veille mensuelle de l’AFCDP, "L’Actualité des données personnelles", l’outil indispensable à tout DPO.





Agenda

24 janvier 2018
12è Université des DPO

8 février 2018
Réunion AFCDP Méditerranée

8 février 2018
Réunion AFCDP Nord