Projet de loi relatif à la protection des données personnelles (CNIL 2)

image bonProjet de loi relatif à la protection des données personnelles adopté en 1ère lecture par l’Assemblée nationale le 13 février 2018

Le projet de loi relatif à la protection des données personnelles publié le 13 décembre 2017 et adopté par l’Assemblée nationale en 1er lecture le 13 février 2018  vise à modifier la loi Informatique et Libertés pour la rendre compatible avec le règlement européen sur la protection des données 2016/679 dit « RGPD ou GDPR », mais aussi pour adopter des dispositions spécifiques nationales prévues par ce règlement.

Plusieurs mesures importantes figurent dans ce projet de loi et dans les amendements adoptés :

  1. Pouvoirs, compétence et organisation de la CNIL
  • Pouvoirs : la CNIL bénéficiera de pouvoirs plus étendus et notamment aura la possibilité :
  • D’établir et publier des lignes directrices, recommandations, référentiels, code de conduite, prescrire des mesures de sécurités techniques ou organisationnelles, décider des processus de certification.
  • D’établir la liste des traitements susceptibles de créer un risque élevé et devant faire l’objet d’une consultation préalable à la CNIL.
  • De présenter des observations devant une juridiction à l’occasion d’un litige relatif au GDPR ou loi CNIL 2.
    • Sanctions : au-delà des sanctions prévues par le GDPR, la CNIL aura la possibilité de décider d’une injonction assortie d’une astreinte d’un montant maximum de 100 000 euros par jour.
    • Contrôles: les agents de la CNIL pourront utiliser une identité d’emprunt pour les investigations en ligne (par exemple, utiliser une adresse électronique qui n’est pas celle de la CNIL, associée ou non à un autre nom ou un pseudonyme).
    • Transferts vers un pays tiers : la commission accepte que des données personnelles puissent être transférées vers un Etats tiers de l’Union si le degré de protection de ces données dans cet Etat est adéquat au standard européen (décision d’adéquation). Cependant, toute personne a le droit de contester le transfert de ses données si elle estime qu’il y a une atteinte à ses droits et doit alors pouvoir saisir l’autorité de contrôle. Dès lors, saisie d’une telle contestation, la CNIL doit, si elle entend y donner suite, saisir le Conseil d’Etat d’une demande de suspension provisoire du transfert des données.
  1. Champ d’application territorial

Le projet de loi prévoit qu’en cas de divergence de législations entre Etats membres de l’UE liée aux marges de manœuvre laissées par le règlement, la loi nationale s’applique dès lors que la personne réside en France y compris lorsque le responsable de traitement n’est pas établi en France.

  1. Les formalités auprès de la CNIL 

Le RGPD a supprimé les formalités préalables auprès des autorités de contrôle (déclaration, autorisation etc.). Ces formalités seront remplacées par l’obligation pour le responsable de traitement d’effectuer préalablement une analyse d’impact sur les données personnelles (DPIA) lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes et de consulter la commission le cas échéant.

Toutefois, le projet de loi conserve un régime d’autorisation préalable dans trois cas :

  • Les traitements impliquant l’utilisation du numéro de sécurité sociale (NIR) seront autorisés dans cadre d’un décret-cadre, pris après avis motivé et publié de la CNIL, qui déterminera les catégories de responsables de traitement et les finalités pour lesquelles les traitements peuvent être mis en œuvre ;
  • Les traitements comportant des données biométriques ou des données génétiques seront également soumis à autorisation, mais uniquement lorsqu’ils sont mis en œuvre pour le compte de l’Etat (notamment pour l’utilisation de données biométriques ou génétiques à titre d’identification et de contrôle d’identité).
  • Les traitements effectués à des fins de recherches, d’études ou d’évaluation dans le domaine de la santé.

 

  1. Le délégué à la protection des données (DPO)

Le projet de loi n’ajoute pas de critères, par rapport au GDPR, concernant la nomination du Délégué à la Protection des Données ou DPO.

  1. Les catégories particulières de donnée dites « données sensibles »

Le projet de loi reprend le principe d’interdiction de traitement de données sensibles issu de la loi informatique et libertés tout en élargissant son champ d’application aux traitements des données génétiques, biométriques et des données concernant l’orientation sexuelle des personnes. En revanche, il autorise, en plus de ce qui est prévu à l’article 9.2 du RGPD, l’utilisation des données biométriques par l’employeur ou l’administration comme mode de contrôle d’accès au lieu de travail, aux appareils ou aux applications.

  1. Les données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes

Ce type de données ne peut être utilisé que par certaines catégories de personnes (juridictions, les autorités publiques etc.) sauf lorsqu’elles sont utilisées aux fins d’exercer et de suivre une action en justice en tant que victime, mis en cause, ou pour le compte de ceux-ci, pour une durée proportionnée à cette finalité.

En outre, le projet de loi prévoit la possibilité de réutiliser des informations figurant dans les jugements et décisions, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la ré-identification des personnes concernées.

  1. Les décisions individuelles automatisées

Le projet de loi ouvre plus largement la possibilité pour l’administration de recourir à des décisions automatisées (prises sur le fondement d’un algorithme sous réserve que cela n’inclut pas de données sensibles), à la condition d’offrir en contrepartie d’importantes garanties en matière d’information des personnes et de droits et recours.

  1. L’âge pour le consentement des mineurs

Comme le permet le GDPR, la commission des Lois a adopté un amendement abaissant de 16 à 15 ans, l’âge à partir duquel un mineur pourra consentir seul au traitement des données le concernant.
Le traitement de données relatives à un mineur de moins de 15 ans sera soumis au double consentement des parents et du mineur.

  1. Représentation des personnes et actions de groupe

Le projet de loi prévoit qu’une personne concernée peut mandater une association ou une organisation aux fins d’exercer en son nom une réclamation auprès de la CNIL, un recours juridictionnel contre la CNIL ou contre un responsable de traitement ou un sous-traitant.

S’agissant des actions de groupe, un amendement visant à  introduire la possibilité d’exercer une action de groupe dans le domaine de la protection des données personnelles aux fins de réparation du dommage causé a été adopté. La Loi pour une République numérique de 2016 ne prévoyait que les actions de groupe visant à faire cesser un traitement préjudiciable.image bonimage bon

Quelles sont les prochaines étapes ?

Le projet de loi, ayant déjà reçu l’avis du Conseil d’État et de la CNIL, a été soumis par le gouvernement à une procédure accélérée. Après avoir été adopté à l’Assemblée nationale, ce projet de loi sera examiné par le Sénat à partir de mars 2018. L’adoption doit intervenir avant le 25 mai 2018.

L’article 20 du projet de loi prévoit que le gouvernement est habilité à légiférer par ordonnance afin de
« réécrire » la loi de 1978 et de mettre en cohérence les textes voisins comportant des références à ladite loi dans un délai de 6 mois après la publication de cette nouvelle loi.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>