La législation est en train de changer. Le 13 décembre, le projet de loi relatif à la protection des données personnelles, et dont la finalité est d’adapter la loi française au droit européen, a été présenté en conseil des ministres. Le Règlement européen, qui entrera en vigueur le 25 mai 2018 et concerne aussi bien particuliers et entreprises. Il devra permettre de créer un cadre unifié et protecteur pour les données personnelles des Européens.
Les données personnelles correspondent à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres
Article 2 de la loi Informatique et Liberté
L’ambition du gouvernement français est d’adapter la loi Informatique et liberté du 6 janvier 1978 au nouveau cadre juridique européen. En effet, le 27 avril 2016, un « paquet européen de protection des données » a été adopté. Il se compose d’un règlement qui fixe le cadre général de la protection des données, et d’une directive, applicable aux fichiers de la sphère pénale. Ce projet de loi est porté par Nicole Belloubet, garde des Sceaux, ministre de la Justice en collaboration avec Mounir Mahjoubi, secrétaire d’Etat au numérique.
Repenser le cadre applicable aux données personnelles
« Le projet de loi, préparé par le gouvernement, va permettre l’application effective de ces textes européens, qui représentent un progrès majeur pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques », a expliqué la CNIL. « Le développement de l’ère numérique oblige à repenser le cadre applicable aux données personnelles », a pour sa part affirmé la garde des Sceaux.
Créer un cadre unifié et protecteur
Selon Mounir Mahjoubi, le projet de loi comporte des avancées majeures qui peuvent « bouleverser les usages ». Dans un communiqué de presse daté du 13 décembre 2017, le gouvernement explique que ce texte va créer un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants. Et cela « quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne ».
Le nouvelle législation prévoit notamment une simplification des règles auxquelles sont soumis les acteurs économiques. Un contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques causés par son traitement remplacera le contrôle a priori, basé sur des déclarations et autorisations préalables. Le gouvernement a précisé qu’en contrepartie de cette « responsabilisation des acteurs », les pouvoirs de la CNIL seront renforcés, comme les sanctions encourues qui pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial consolidé.
« Conformément à la volonté du gouvernement de simplifier les normes et d’éviter la sur transposition des textes européens, ce projet de loi simplifie les règles auxquelles sont soumis les acteurs économiques tout en maintenant un haut niveau de protection pour les citoyens », peut-on lire dans le communiqué du 13 décembre.
Une avancée majeure, mais…
La CNIL a rendu son avis sur le projet de loi le 30 novembre 2017. « Le projet de loi joue pleinement le jeu du Règlement et de l’harmonisation recherchée par celui-ci, en ne maintenant des dérogations nationales que lorsque celles-ci sont réellement justifiées, notamment en matière de données de santé », s’est réjouie la Commission.
La Commission nationale de l’information et des libertés se félicite de la prise en compte de ses observations sur de nombreux points. Mais elle regrette cependant que certaines propositions n’aient pas été retenues. La CNIL fait notamment référence à « l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives ».