Les apports de la loi “CNIL 3”

Après un long processus parlementaire, la loi relative à la protection des données personnelles a été définitivement adoptée par l’Assemblée Nationale le 14 mai 2018. Elle introduit des éléments nécessaires à la transposition de la directive 680/2016 dite « Police », ainsi que les éléments nécessaires à l’adaptation du droit français au RGPD (Règlement Général 2016/679 sur la Protection des Données). En effet, bien que le RGPD soit d’application directe, il comporte 56 clauses dites ouvertes donnant des marges de manœuvre aux Etats membres pour leurs applications. Voici donc les principales mesures prévues par la loi d’adaptation.

1. Une personnalisation du champ d’application territorial de la loi

L’article 10 de la loi d’adaptation introduisant l’article 5-1 de la loi dite « Informatique et Libertés » (LIL) modifiée prévoit que les règles françaises adoptées en vertu du RGPD s’appliqueront à partir du moment où la personne concernée est un résident français, et ce même si le responsable de traitement n’est pas établi en France. Ainsi, tous les traitements impliquant une personne concernée résidant en France devra respecter à la fois les règles françaises, mais aussi les règles applicables dans le pays du responsable du traitement.

Les champs d’application prévus respectivement par le RGPD et la loi d’adaptation française ne coïncident donc pas réellement et des difficultés d’application sont à prévoir.

2. Des formalités préalables simplifiées

En vertu de l’article 11 de la loi d’adaptation modifiant les articles 22 et 27 de la LIL, seules quelques autorisations préalables sont maintenues pour :

– Des traitements comportant le NIR. Un décret en Conseil d’Etat viendra détailler les catégories de responsables du traitement pouvant traiter des données comportant le NIR et les finalités de ces traitements. Les traitements relatifs au NIR précédemment autorisés par la CNIL pourront continuer à être mise en œuvre jusqu’au 25 mai 2020.
– Des traitements portant sur des données génétiques ou biométriques lorsqu’ils sont mis en œuvre pour le compte de l’Etat et sont nécessaires à l’authentification ou au contrôle de l’identité des personnes. Ils seront autorisés par décret en Conseil d’Etat.
– Enfin, les traitements effectués dans le domaine de la santé à des fins de recherches, d’études ou d’évaluation continueront de faire l’objet d’une autorisation préalable.

3. Des pouvoirs de la CNIL adaptés

a. Missions de conseil (art. 1 de la loi d’adaptation)

Cet article prévoit que le CNIL a le pouvoir d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements. Dans ce cadre, la CNIL devra nécessairement prendre en considération les besoins spécifiques des PME/TPE et des collectivités locales pour les accompagner vers la conformité. La CNIL pourra alors « prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé ».

b. Pouvoir certificateur (art. 1 de la loi d’adaptation)

La CNIL peut désormais certifier des personnes, des produits, des systèmes de données ou des procédures afin de reconnaître leur conformité RGPD. Elle peut également agréer des organismes certificateurs sur la base de l’accréditation qui leur a été délivrée par le COFRAC (organisme d’accréditation français) ou décider conjointement avec lui de lui déléguer cet agrément dans les conditions précisées par décret en Conseil d’Etat.

c. Pouvoir de contrôle et de sanction (articles 5 et 7 de la loi d’adaptation)

Les contrôleurs de la CNIL pourront désormais procéder à des contrôles en ligne sous une identité d’emprunt, sans incidence sur la régularité des constatations. De plus, la CNIL pourra prononcer des sanctions administratives conformément aux dispositions du RGPD c’est-à-dire jusqu’à 2% ou 4% du chiffre d’affaire annuel mondial d’une entreprise ou 10 ou 20 millions d’euros (le montant le plus élevé étant retenu). La CNIL acquiert la possibilité d’assortir les sanctions administratives d’une astreinte qui ne peut dépasser 100 000 euros par jour de retard. Enfin, les sanctions administratives pourront être appliquées aux collectivités locales et à leurs groupements mais pas à l’Etat.

d. Rôle sur la scène européenne et internationale (art. 6 de la loi d’adaptation)

La loi détaille les modalités de coopération de la CNIL avec ses homologues européens, en particulier en cas de demande d’assistance mutuelle ou d’opération de contrôle conjointe. Un décret en Conseil d’Etat viendra préciser la procédure de la CNIL lorsqu’elle est autorité de contrôle chef de file.

4. Validité du consentement et contrats

Les responsables de traitement ont l’obligation de démontrer que les contrats qu’ils concluent ne constituent pas un obstacle aux consentement des utilisateurs finaux et à leur droit d’accéder aux applications et services de leur choix. L’article 28 (2) de la loi d’adaptation précise que « peut en particulier faire obstacle à ce consentement le fait de restreindre sans motif légitime d’ordre technique ou de sécurité les possibilités de choix de l’utilisateur final, notamment lors de la configuration initiale du terminal, en matière de services de communication au public en ligne et aux applications accessibles sur un terminal, présentant des offres et des conditions d’utilisation de nature équivalente selon des niveaux différenciés de protection des données personnelles. »

5. Consentement des mineurs

L’article 20 de la loi d’adaptation introduisant l’article 7-1 de la LIL modifiée, fixe l’âge du consentement numérique (« en ce qui concerne l’offre directe de services de la société de l’information ») à 15 ans. En dessous de 15 ans, le traitement sera légal seulement si le consentement est donné conjointement par le mineur et le titulaire de l’autorité parentale.

Selon l’article 59 de la LIL modifiée, pour les traitements réalisés dans le cadre de recherches, d’études ou d’évaluations dans le domaine de la santé ayant une finalité d’intérêt public et incluant des personnes mineures, le mineur âgé de 15 ans ou plus pourra s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation.

6. Notification des violations de données

Conformément à l’article 24 de la loi d’adaptation modifiant l’article 40 de la LIL, un décret en Conseil d’Etat viendra restreindre l’obligation de notification d’une divulgation ou d’un accès non autorisé aux données imposée par l’article 34 du RGPD. Ainsi, cette obligation ne s’appliquera pas si les traitements de données à caractère personnel concernés par la violation sont soit nécessaires au respect d’une obligation légale, soit nécessaires à l’exercice d’une mission d’intérêt public dont est investi le responsable de traitement. Il en sera de même lors la notification est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

7. Introduction de l’action de groupe réparatrice

L’article 25 de la loi d’adaptation modifiant l’article 43 ter de la LIL autorise des actions de groupe non seulement pour la cessation des manquements, mais aussi pour réparation des préjudices matériels ou moraux. En revanche, la responsabilité de la personne ayant causé le dommage ne pourra être engagée que si le fait générateur du dommage est postérieur au 24 mai 2018. Comme précédemment, les personnes ne pourront pas intenter d’action de groupe à titre individuel ou par l’intermédiaire de leur avocat, mais uniquement en passant par un organisme, une organisation ou une association à but non lucratif.

8. Registre des activités de traitement

L’introduction d’un article 70-14 dans la LIL modifiée dispose que le registre doit notamment indiquer « la base juridique de l’opération de traitement » alors que cette mention n’était pas requise dans le RGPD.

9. Statut du DPO

La loi n’apporte pas de précisions concernant le DPO. Elle supprime simplement les dispositions sur le correspondant Informatique et Libertés (CIL) dans la loi Informatique et Libertés. Ceci est conforme à l’avis du Conseil d’Etat du 11 décembre 2017 qui a estimé que les obligations relatives au DPO sont « très précisément définies par les articles 37 et suivants du règlement ». Selon le Conseil d’Etat, dans la mesure où les dispositions précitées sont d’application directe, elles n’appellent aucune précision autre que l’abrogation des dispositions contraires existantes. Les députés ont d’ailleurs supprimé la disposition, introduite par les sénateurs, qui aurait donné mission à la CNIL d’établir un document à destination des DPO des organismes publics. Une charte de déontologie applicable à l’ensemble des DPOs est, semble-t-il, en cours d’élaboration par les membres de l’AFCDP.

Une dizaine de décrets d’application (dans des conditions précisées par le Conseil d’Etat après avis de la CNIL) seront nécessaires pour finaliser l’adaptation française au RGPD. Le 16 mai 2018, la loi a été dénoncée par plus de 60 sénateurs devant le Conseil constitutionnel comme portant atteinte à l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi. Selon les sénateurs, des troubles dans la rédaction ouvrent trop le champ à des interprétations, attribuant dans le même temps de trop vastes marges de manœuvre à l’exécutif ou aux autorités juridictionnelles. A noter que cette saisine du Conseil constitutionnel par les sénateurs a suspendu la promulgation de la loi d’adaptation. Les neufs sages disposent désormais d’un mois pour rendre leur décision.

Autres Articles

Brexit Deal or not : Un bon deal pour vos données ?

Brexit Deal or not : Un bon deal pour vos données ?   Le 29 mars 2017, le Royaume-Uni a enclenché la procédure de retrait de l’Union européenne. Conformément à l’article 50 paragraphe 3 du Traité sur le fonctionnement de l’Union européenne, l’ensemble du droit de...

lire plus

Vous avez besoin d’être accompagné pour votre procédure RGPD ?