RGPD : consultez le projet de loi relatif à la protection des données personnelles

Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur. Mais pour être appliqué dans tous les pays européens, il nécessite des lois locales. Alors que l’échéance approche (moins de 6 mois), le « Projet de loi relatif à la protection des données personnelles » vient d’être publié. La CNIL, première concernée par cette loi (également surnommée loi CNIL2), et le Conseil d’État, ont également publié leur avis sur ce projet de loi.

Le projet de loi français pour appliquer le RGPD

Il est rappelé que « le règlement [est] directement applicable, [donc] le projet de loi ne peut recopier ses dispositions ». Cette propriété permet aux entreprises de plus ou moins se préparer à l’application du règlement depuis le 27 avril 2016, date à laquelle il a été publié au Journal Officiel de l’Union européenne. Le premier titre du projet de loi correspond donc à une application attendue du règlement. En revanche, sur une cinquantaine de points, les législateurs locaux peuvent ajuster le règlement.

On pense notamment à « l’âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l’information ». Fixé à 16 ans au niveau européen, les États membres peuvent l’abaisser jusqu’à 13 ans. Le Gouvernement a fait le choix de conserver le seuil de 16 ans. Cela signifie qu’à partir de 16 ans, tout individu français peut consentir seul à un traitement de ses données. En revanche, avant cet âge, le consentement de l’autorité parentale est requise. Dans les faits, il devra être précisé comment les entités peuvent ou doivent vérifier l’âge des utilisateurs.

Toujours concernant les marges de manœuvre, le Gouvernement entend « anticiper le développement d’une administration numérique, voire 100% dématérialisée » en « ouvrant plus largement la possibilité pour l’administration de recourir à des décisions automatisées (prises sur le fondement d’un algorithme), à la condition d’offrir d’importantes garanties en contrepartie, en matière d’information pleine et entière des personnes, de droits de recours et de données traitées et de maîtrise par le responsable du traitement algorithmique et de ses évolutions ».

Le projet de loi remarque que « la nouvelle logique de responsabilisation prévue par le règlement conduit à supprimer la plupart des formalités préalables ». Conséquence directe, le régime de déclaration préalable (art. 22 et 24 de la loi du 06/01/78) est supprimé. Les responsables de traitement seront responsables de l’étude des risques liés à la protection des données. Ils pourront consulter la CNIL à cet égard. Les formalités préalables prévues par les articles 25 (régime d’autorisation par la CNIL) et 27 (régime d’autorisation par décret en Conseil d’État) sont abrogées, pour les mêmes raisons (responsabilisation).

Le Gouvernement choisit d’utiliser la marge de manœuvre prévue par l’article 23 du règlement, relatif à la limitation de certains droits des personnes concernées, quand « elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs » (sécurité nationale…). L’adoption d’un acte par le parlement n’est pas exigée à cet égard. Le Conseil d’État devra notamment fixer la liste des traitements qui pourront déroger au droit à la communication d’une violation de données.

L’avis de la CNIL sur le projet de loi RGPD

Bien qu’une cinquantaine de points puissent être ajustés par les gouvernements, la France a choisi – dans la plupart des cas – de conserver les choix effectués au niveau européens. La CNIL s’en félicite, appréciant que « le projet de loi CNIL 2 joue pleinement le jeu de l’harmonisation du RGPD en ne maintenant des dérogations nationale que lorsque celles-ci sont réellement justifiées, notamment en matière de données de santé ». La Commission apprécie aussi que ses observations aient été prises en compte, concernant le pouvoir de contrôle étendu, les opérations conjointes avec les CNIL européennes, les pouvoirs complétés de la formation restreinte et la clarification des conditions de traitement des données biométriques.

En revanche, plusieurs réserves ont été formulées par la CNIL. Premièrement, la Commission regrette qu’aucune garantie ne soit citée concernant l’utilisation de traitements par des algorithmes pour adopter des décisions administratives. Deuxièmement, la CNIL regrette le « calendrier trop tardif retenu pour l’examen de ce texte ». La CNIL a d’ailleurs publié un thread Twitter, à dérouler.

La @CNIL publie son avis sur le projet de #LoiCNIL2 relatif à la protection des données personnelles. Lire le communiqué complet : https://t.co/riR9ayhdjC #Thread 🔽 pic.twitter.com/IEASowbo5m

— CNIL (@CNIL) 13 décembre 2017

Tout savoir sur le projet de loi RGPD

Voici les ressources utiles pour comprendre le projet de loi :

• Projet de loi relatif à la protection des données personnelles (JUSC1732261L)
• Exposé des motifs du projet de loi
• Avis de la CNIL sur le projet de loi
• Avis du Conseil d’État sur le projet de loi
• Étude d’impact du projet de loi (PDF)
• Règlement général sur la protection des données (UE 2016/679)

Nous publierons dans les prochaines semaines des contenus permettant de décrypter l’application du RGPD dans les entreprises (nouvelles obligations, process à mettre en place, risques encourus, études de cas…).