Dès la rentrée, plusieurs textes vont venir modifier la législation française applicable en matière de protection des données à caractère personnel, anticipant ainsi sur certains points l’application, le 25 mai 2018, du Règlement européen 2016/679 du 27 avril 2016[1].
I. Le projet de loi pour une République numérique
Déposé par la Commission Mixte paritaire le 30 juin 2016, le projet de loi pour une République numérique[2] a été adopté en lecture unique à l’Assemblée nationale le 21 juillet 2016 et doit encore faire l’objet d’une discussion au Senat en septembre avant une promulgation en septembre ou octobre. Précisons également que si le texte promulgué ne devrait pas être très différent de la dernière version du projet de loi, de nombreux articles ont été notifiés[3] à la Commission européenne et pourront ainsi faire l’objet de critiques des commissaires et même d’autres États membres.
Bâti sur trois axes, ce texte entend favoriser la circulation des données et du savoir notamment par une ouverture des données publiques (article 1er). Il ambitionne également de renforcer la protection des individus dans la société du numérique en affirmant le principe de neutralité des réseaux et de portabilité des données (articles 19 à 21) et en établissant un principe de loyauté des plateformes de services numériques (articles 22 et 23). Enfin, plusieurs mesures ont pour objet de favoriser l’accessibilité au numérique, qu’il s’agisse de services numériques publics (articles 35 à 42), de l’accès aux personnes handicapées (articles 43 et 44) ou encore d’un droit à la connexion internet pour les plus démunis sur le modèle d’un droit à l’eau ou à l’électricité (article 45).
S’agissant de la protection des données personnelles, le texte anticipe l’application du règlement européen en mai 2018 et renforce la capacité de l’individu à maîtriser les usages qui sont faits de ses données à caractère personnel.
Tout d’abord, le Projet de loi (article 27) complète le droit à l’information consacré par l’article 32 de loi de 1978[4] en insérant une nouvelle obligation pour le responsable du traitement ou son représentant d’informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant « de la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée. ». Jusqu’à présent, le responsable du traitement était déjà tenu d’informer la personne concernée de l’identité du responsable, de la finalité du traitement ou encore de ses droits (d’opposition, rectification, etc.)… L’article 14 (2) du règlement prévoit une obligation similaire. Notons toutefois qu’il sera vraisemblablement difficile de contrôler l’exactitude et la proportionnalité de la durée mentionnée.
De plus, le projet prévoit (article 28) que l’exercice de ses droits (accès, opposition, rectification, etc.) par la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant devra être possible, « si possible » (!!!) par voie électronique.
En outre, un « droit à l’oubli » spécifique aux mineurs ainsi qu’une procédure accélérée pour l’exercice de ce droit sont prévus à l’article 32 de ce texte : « sur demande de la personne concernée, le responsable du traitement est tenu d’effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l’offre de services de la société de l’information lorsque la personne concernée était mineure au moment de la collecte. ». L’article 32 anticipe ainsi la prochaine application de l’article 17 du règlement européen consacrant un droit à l’effacement («droit à l’oubli») et qui s’il ne mentionne pas expressément les mineurs est précisé par les considérants 38 et 65 de ce même texte. Le considérant 68 dispose en particulier que « ce droit [à l’oubli] est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l’époque où elle était enfant et n’était pas pleinement consciente des risques inhérents au traitement, et qu’elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l’internet. La personne concernée devrait pouvoir exercer ce droit nonobstant le fait qu’elle n’est plus un enfant. ».
Cet article 32 va même plus loin qu’une simple anticipation du règlement en prévoyant la mise en place d’un droit sur le devenir des données personnelles après le décès de la personne. Désormais, « toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès ». Générales ou particulières, ces dispositions pourront être modifiables ou révocables à tout moment et une personne chargée de leur exécution pourra être désignée. De même, en l’absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée pourront exercer ce droit après son décès. Il s’agit d’une innovation de la loi dans la mesure ou le présent règlement précise quant à lui (considérant 27) ne pas s’appliquer aux données à caractère personnel des personnes décédées tout en indiquant que les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.
Le Projet de loi opère également un élargissement des missions de la Commission nationale de l’informatique et des libertés (CNIL) qui pourra jouer un rôle plus en amont (article 29). Le texte prévoit notamment[5] :
- La saisine pour avis de la CNIL sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données.
- La publicité automatique des avis de la CNIL sur les projets de loi, renforçant ainsi la transparence.
- L’affirmation de sa mission de promotion de l’utilisation des technologies protectrices de la vie privée
- La certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation (article 30 anticipant l’article 42 du règlement européen).
- La conduite par la CNIL d’une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques.
Enfin, le plafond maximal des sanctions de la CNIL passe de 150.000 EUR à 3 millions EUR (article 33 bis B). Le texte précise expressément qu’en matière de traitement des données à caractère personnel et à la libre circulation de ces données, ces dispositions sont transitoires en attendant l’application de l’article 83 du règlement européen à compter du 25 mai 2018 (ce dernier prévoit à l’article 83 un plafond jusqu’à 20 millions d’EUR ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial).
Notons que le surprenant article 26 bis A intégré au projet par les sénateurs en mai 2016 et qui prévoyait que les données à caractère personnel « sont stockées dans un centre de données situé sur le territoire de l’un des États membres de l’Union européenne et ne peuvent faire l’objet d’aucun transfert vers un État tiers » n’a pas été conservé pas le texte élaboré en Commission mixte paritaire, car tout simplement contraire aux dispositions du règlement européen en matière de transfert de données (chapitre V du règlement).
II. Le Projet de loi de modernisation de la justice du XXIème siècle
Suite à un constat de désaccord en Commission mixte paritaire, le projet de loi de modernisation de la justice du XXIème siècle a été adopté en nouvelle lecture par l’Assemblée nationale le 12 juillet 2016 et devrait être discuté au Sénat en septembre. Comprenant sept titres, il ambitionne de rapprocher la Justice du citoyen (service d’accès unique du justiciable), de favoriser les modes alternatifs de règlement des litiges, d’améliorer l’organisation et du fonctionnement du service public de la justice, de recentrer les juridictions sur leurs missions essentielles ou encore de créer un cadre légal commun aux actions de groupe.
En effet, attendue depuis la Loi Hamon, l’action de groupe en matière de protection des données à caractère personnel était prévue dans le Projet de loi pour une République numérique. Elle a finalement été transférée dans le Projet de loi de modernisation de la justice du XXIème siècle (article 45 quinquies). Le texte prévoit que les citoyens qui subiraient « un dommage ayant pour cause commune un manquement de même nature aux dispositions de la Loi 78-17 du 6 janvier 1978 par un responsable de traitement de données à caractère personnel ou un sous-traitant » pourront exercer une action de groupe devant la juridiction civile ou la juridiction administrative compétente.
Toutefois, en dehors des associations de consommateurs agréées au niveau national, seules pourront exercer cette action les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel. De plus, seule la cessation d’une atteinte à la loi de 1978 pourra être demandée et non sa réparation (« cette action tend exclusivement à la cessation de ce manquement »).
Ces actions de groupe sont prévues à l’article 80 du règlement européen qui prévoit notamment que « les États membres peuvent prévoir que tout organisme, organisation ou association […] indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement. »
Quel avenir pour la Loi 78-17 du 6 janvier 1978 ?
D’application directe, le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ne nécessitera pas de transposition contrairement à la précédente directive 95/46/CE qu’il abroge. Dès lors, de nombreuses dispositions nationales, notamment de la loi de 1978, deviendront obsolètes et ont vocation à disparaître puisque le règlement sera directement invocable dès mai 2018.
En revanche, certains articles du règlement permettent au droit national de prévoir des mesures spécifiques, par exemple pour les traitements de données de l’administration ou de secteur spécifique (presse, archives, statistiques…), ce qui permettra le maintien de certaines dispositions, sous réserve de leur mise en conformité éventuelle avec le règlement.
De plus, des mesures de précision et d’adaptation sont nécessaires, notamment en ce qui concerne l’organisation et le fonctionnement de la Commission nationale de l’informatique et des libertés.
Enfin, la loi de 1978 conserve toujours un intérêt, notamment car le règlement ne fait pas de mention expresse des territoires d’outre-mer comme la Nouvelle-Calédonie ou la Polynésie. Par conséquent, et conformément aux principes d’applicabilité du droit dérivé européen, le règlement ne sera pas applicable dans ces territoires. C’est donc la loi de 1978 qui continuera de s’y appliquer comme c’est le cas depuis 2004[6].
Par conséquent, face à l’ampleur du chantier, l’article 33 bis B du Projet de loi pour une République numérique prévoit que « le gouvernement remet au Parlement, avant le 30 juin 2017, un rapport sur les modifications à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés rendues nécessaires par l’entrée en vigueur du règlement (UE) 2016/679 […] du 27 avril 2016 ».
Alexandre Mandil
[1] http://eur-lex.europa.eu/legal-content/FR/ALL/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FRA
[2] http://www.assemblee-nationale.fr/14/ta-commission/r3902-a0.asp
[3] http://ec.europa.eu/growth/tools-databases/tris/fr/search/ : Sur le droit à l’effacement des données pour les mineurs, le secret des correspondances, la portabilité et récupération des données…
[4] https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee#Article32
[5] https://www.cnil.fr/fr/projet-de-loi-pour-une-republique-numerique-quel-impact-pour-la-cnil-et-la-protection-des-donnees
[6] https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=7D0BC910C9E58D503C0874B55BBFAD60.tpdila18v_1?idArticle=LEGIARTI000031932014&cidTexte=LEGITEXT000006068624&dateTexte=20160802 ; http://www.observatoire-numerique.nc/sites/default/files/pdf/actualites/artexpert-informatiquelibertes-2016-04-15.pdf