Projet de loi relatif à la protection des données personnelles

Présenté en Conseil des ministres le 13 décembre 2017 par la garde des Sceaux, ministre de la justice, le projet de loi relatif à la protection des données personnelles(1) a été déposé à l’Assemblée nationale le même jour.

Ce projet de loi vise à adapter la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés(2) au « paquet européen de protection des données », fruit de négociations débutées en janvier 2012, composé du règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel(3) applicable à compter du 25 mai 2018 et de la directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales(4) devant être transposée d’ici le 6 mai 2018.

Ces deux textes opèrent un double changement de paradigme. D’une part, le cadre juridique de la protection des données personnelles bascule d’une logique de prohibitions, accompagnée de formalités allant de la déclaration de traitement à l’autorisation conditionnée, à une logique de responsabilisation renforcée des acteurs, responsables de traitements et sous-traitants, sous le contrôle de l’autorité de régulation dont les pouvoirs d’investigation et de sanction sont renforcés. D’autre part, ainsi que le souligne l’avis du Conseil d’État, « le système créé n’a pas de précédent »(5). Contrairement à un modèle intégré où les États membres exercent en commun une compétence de l’Union que le principe de subsidiarité leur délègue ou à un système de coopération souple où le juge européen assure l’articulation entre les normes nationales, le système de la protection des données personnelles fixe les compétences matérielle et territoriale des États ainsi que leur articulation. Les autorités nationales ayant vocation à intervenir lorsque le responsable du traitement ou la personne concernée par le traitement est établi sur son territoire national, le règlement tranche ainsi également les conflits de compétences entre autorités nationales en désignant l’autorité chef de file et les autorités concernées.

Le projet de loi ne reprend pas les dispositions du règlement du 27 avril 2016, en particulier celles relatives au délégué à la protection des données(6) ou au droit à la portabilité(7) d’application directe. Mais les marges de manœuvre ouvertes par ce règlement permettent de maintenir des dispositions déjà existantes dans notre droit national ou de prendre en compte l’évolution technologique et sociétale, telle que l’article 8 qui fixe à 16 ans l’âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l’information.

Le titre 1er du projet de loi traite ainsi de dispositions relatives à la CNIL (articles 1 à 6), autorité de contrôle nationale au sens et pour l’application du règlement du 27 avril 2016, à l’interdiction de traitement de données dites « sensibles » (article 7), au champ d’application de la loi nationale en cas de divergences entre États membres de l’Union (article 8), à la simplification des formalités préalables à la mise en œuvre des traitements (article 9), aux obligations incombant aux responsables de traitements et sous-traitants (article 10), aux catégories particulières de traitement propres de données en matière de sûreté, d’archives publiques, de santé, etc. (articles 11 à 13 et 18), aux droits des personnes (articles 14, 15 et 18), aux voies de recours devant la CNIL (articles 16 et 17).

Ayant fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978, le futur corpus juridique de la protection des données personnelles s’articulera autour du règlement du 27 avril 2016, d’application directe, et de dispositions nationales, prises au titre de la transposition de la directive du 27 avril 2016 ou des marges de manœuvre du règlement précité ou pour les traitement situés hors champ de deux textes européens. Par suite, compte tenu de la difficile lisibilité, intelligibilité et accessibilité de ce droit, Conseil d’État et Commission nationale de l’informatique et des libertés appellent dans leur avis(5)(8) à poursuivre pleinement l’objectif fixé par l’article 20 du projet de loi autorisant le Gouvernement à prendre par voie d’ordonnance les mesures tendant à améliorer l’intelligibilité de la législation applicable à la protection des données. Le Conseil d’État invite, au surplus, les pouvoirs public à établir, à la suite de réflexions éthiques et de choix politiques, un cadre normatif rassemblant l’ensemble des règles applicables qui pourrait prendre la forme d’un « futur code du numérique et des libertés ».
 
Notes
puce note (1) Projet de loi relatif à la protection des données personnelles
puce note (2) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
puce note (3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
puce note (4) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil
puce note (5) Conseil d'État, avis n° 393836 du 7 décembre 2017 (pdf)
puce note (6) Fiche CNIL, Devenir délégué à la protection des données, 23 mai 2017
puce note (7) Fiche CNIL, Le droit à la portabilité en questions, 22 mai 2017
puce note (8) Délibération n° 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n°78-17 du janvier 1978 (pdf)
 
 
Informations légales | Données personnelles