Premiers regards sur le projet de loi relatif à la protection des données personnelles
Tech&droit - Données
14/12/2017
Un projet de loi comprenant 24 articles, un exposé des motifs, une étude d’impact de 530 pages (dont 286 reproduisent des tables de concordance), un avis public du Conseil d’État et une délibération de la Commission nationale de l’informatique et des libertés. Des lignes et des lignes d’analyse et de pédagogie, qui illustrent les enjeux de l’entrée en vigueur de ces nouvelles dispositions.
Sans revenir dans le détail de chacun de ses articles, que faut-il retenir de ce projet de loi ?
Le contexte
Bref rappel du cadre dans lequel intervient ce texte. Ce projet de loi a pour objectif de mettre en conformité le droit positif avec le « paquet européen de protection des données », adopté par le Parlement européen et le Conseil le 27 avril 2016. Ce « paquet » comprend :
- le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard des données à caractère personnel, qui constitue le cadre général de la protection des données, est directement applicable à compter du 25 mai 2018 ;
- la directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuites en la matière ou d’exécution de sanctions pénales, qui doit être transposée au plus tard le 6 mai 2018.
Comme le souligne la Cnil dans son avis rendu public le 13 décembre dernier, « si la plupart des principes régissant le traitement de données à caractère personnel, posés par le législateur il y a près de 40 ans, restent valables, ce cadre juridique introduit un changement de paradigme » (CNIL, délibération n° 2017-299, 30 novembre 2017, portant avis sur un projet de loi d’adaptation au droit de l’Union européenne de la loi n° 78-17 du janvier 197830 nov. 2017). Autrement dit, le règlement repose « sur une logique de responsabilisation renforcée des acteurs, responsables de traitements et sous-traitants (…) alors que la loi de 1978 reposait en grande partie sur une logique de « formalités préalables ».
Pour la Cnil, le projet de loi atteint l’objectif d’harmonisation recherché par le règlement, en ne maintenant des dérogations nationales que lorsque celles-ci sont réellement justifiées, notamment en matière de données de santé.
La méthode choisie
Plusieurs options se présentaient. Finalement, « le gouvernement a fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978. Certes, l’adaptation du droit national au règlement et la transposition de la directive exigent de remanier plusieurs articles de cette loi, mais les principes fondateurs dégagés par le législateur il y a près de quarante ans demeurent toujours valables » (Projet de loi relatif à la protection des données personnelles, 13 déc. 2017, NOR : JUSC1732261L, exposé des motifs).
Le règlement (et la directive, par renvoi sur un certain nombre de dispositions identiques au règlement) est donc intégré dans la loi de 1978, par :
- suppression des dispositions contraires au règlement ;
- mise en conformité des articles de cette loi avec le texte européen (notamment des définitions) ;
- réécriture des textes chaque fois que le gouvernement a souhaité exercer l’une des 56 marges de manœuvres ouvertes par le règlement.
Pour la Cnil, « des dispositions formellement inchangées et toujours en vigueur de la loi de 1978 ne seront en réalité plus applicables, car substituées, dans leur champ, par les dispositions du Règlement (par exemple sur le consentement, la base légale des traitements ou la portée des droits reconnus aux personnes), tandis que la loi nationale ne comportera aucun écho à certains nouveaux droits ou nouvelles obligations posés par le Règlement ».
Une nécessité, pour le Conseil d’État : « Si elle est économe, la technique mise en œuvreaboutit cependant à un résultat très insatisfaisant en termes de lisibilité du droitpositif ». C’est une lourde charge qui va peser dans moins de 6 mois sur les responsables de traitement, ce qui requiert pour cette institution que « la loi soit la plus précise et la plus claire pour assurer un environnement robuste à leur prise de décision », d’autant que bon nombre d’acteurs, « notamment les PME, semblent ne pas être tous prêts aux changements profonds qu’introduit le nouveau régime issu du droit européen » (Conseil d'Etat, avis, 11 déc. 2017, projet de loi d’adaptation au droit de l’Union européenne de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés).
Aperçu du contenu
Le projet de loi est structuré de la manière suivante :
Dispositions relatives à la Commission nationale de l’informatique et des libertés : articles 1 à 6
Dispositions relatives à certaines catégories de données : article 7
Champ d’application territorial des dispositions complétant le règlement (UE) 2016/679 : article 8
Dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements : article 9
Obligations incombant aux responsables de traitements et sous-traitants : article 10
Dispositions relatives à certaines catégories particulières de traitement : article 11 à 13
Dispositions particulières relatives aux droits des personnes concernées : article 14 et 15
Voies de recours : article 16 et 17
Dispositions portant transposition de la directive (UE) 2016/680 du Parlement européen et du conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données : article 18 et 19
Habilitation à améliorer l’intelligibilité de la législation applicable à la protection des données : article 20
Dispositions diverses et finales : article 21 à 24
Critiques de certains arbitrages du gouvernement
La Cnil, comme le Conseil d’État, reprochent au gouvernement certaines prises de position, notamment sur un point assez sensible : la prise de décision administrative individuelle sur le seul fondement d’un traitement algorithmique (Projet de loi relatif à la protection des données personnelles, 13 déc. 2017, art. 10). Le Conseil d’État considère que les garanties offertes par le projet de loi du 13 décembre dernier ne sont pas suffisantes : il « estime nécessaire de poser (…) le principe selon lequel le responsable du traitement, dans le cas où celui-ci comporte un algorithme qui peut être à l’origine d’une décision administrative individuelle, est tenu de se donner les moyens de maîtriser l'algorithme (…) ». Pour les membres de cette juridiction, cette maîtrise humaine complète des algorithmes, « comportant notamment la capacité d’interrompre le fonctionnement du traitement, notamment lorsque ceux-ci sont dotés de capacités d'apprentissage leur permettant de modifier leur logique de fonctionnement sans une démarche humaine préalable de validation (…) n'est conçue que comme un premier pas vers la définition d'un régime plus complet du contrôle des algorithmes, y compris au-delà du champ des décisions administratives individuelles, qui apparaît de plus en plus nécessaire ». Une analyse partagée par la Cnil, pour qui, sur ce point précis des garanties de nature à protéger les intérêts des citoyens, « la formulation du projet de loi n’apparaît pas satisfaisante en l’état ».
Parmi les autres points de désaccord, en matière d’action de groupe cette fois, la Cnil « regrette (…) que le projet de loi ne prévoit pas de disposition s’agissant de la possibilité de mandater (les) organismes (habilités) aux fins d’obtenir réparation du préjudice subi ».
Plus généralement, la Cnil « estime que ce projet est incomplet sur certains points, en ce qui concerne notamment la consécration du principe de sécurité du traitement au titre des conditions de licéité du traitement de données, les conséquences qui s’attachent à la qualité de responsable de traitement, la notion de responsabilité conjointe de traitement, les conditions de traitement des données sensibles, l’obligation de faciliter l’exercice des droits des personnes concernées, le principe de protection des données dès la conception ou les conséquences que peut tirer la Commission de la transmission d’une analyse d’impact, dont le contenu n’est d’ailleurs pas davantage précisé, concernant un traitement qu’elle considérerait comme constituant une violation des dispositions de la loi »…
Des précisions sur le calendrier
La Cnil a alerté le gouvernement sur le calendrier trop tardif retenu pour l’examen de ce texte. Si le règlement entre en vigueur le 25 mai prochain, la directive devait pour sa part entrer en application trois semaines avant. Mais finalement, c’est la date la plus tardive, à savoir le 25 mai qui a été retenue pour l’entrée en vigueur de cette loi et de tous ses décrets. Le timing va être serré.
L’ordonnance devra pour sa part être prise dans les 6 mois de la promulgation de la loi (et ratifiée dans les 6 mois de sa publication au Journal officiel).
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des contenus et services adaptés.
En savoir plus
-
Refuser
Accepterx
