L’Assemblée nationale adopte définitivement le projet de loi relatif à la protection des données personnelles

Présenté au Conseil des ministres du 13 décembre 2017 par la ministre de la justice et engagé en procédure accélérée, le projet de loi relatif à la protection des données personnelles (1) a été adopté en lecture définitive par l’Assemblée nationale le 14 mai 2018. Ce texte vise à mettre en conformité le droit national avec l’ensemble des exigences européennes relatives au « paquet européen de protection des données » adopté par le Parlement européen et le Conseil le 27 avril 2016, soit le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (2) et la directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (3) en vigueur le 25 mai 2018.

Le texte renforce les prérogatives de la Commission nationale de l'informatique et des libertés (CNIL), qui devient une autorité de contrôle au sens du règlement européen, en charge d'accompagner les responsables des systèmes d'information et de "favoriser un environnement juridique sécurisé à travers des instruments de droit souple dont la normativité est graduée". Le champ des données dites "sensibles", dont le traitement est en principe interdit, est élargi aux données biométriques, génétiques et celles relatives à l’orientation sexuelle des personnes (article 8).

Elles s'ajoutent aux données concernant les origines raciales ou ethniques, les opinions politiques, les convictions religieuses, la santé, la vie sexuelle et l’appartenance syndicale, déjà listées par la loi informatique et libertés. Les exceptions limitativement énumérées telles que le consentement exprès de la personne ou la publicité par cette dernière des données traitées sont complétées par le parlement. Les employeurs ou les administrations pourront mettre en œuvre des traitements de données biométriques "strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires".

De plus les informations publiques figurant dans les décisions de justices dans le cadre de la mise à disposition en open data pourront être réutilisées, sous réserve que cela n’ait "ni pour objet, ni pour effet de permettre la réidentification des personnes concernées". Les traitements nécessaires à la recherche publique sont autorisés par la CNIL par un avis motivé et publié s’ils sont conformes au règlement européen. Le texte étend le champ d’application de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (4). Elle s’appliquera dorénavant aux traitements automatisés "en tout ou partie" de données à caractère personnel. Elle ajoute également qu'un fichier de données à caractère personnel peut être un ensemble "soit centralisé, décentralisé ou réparti de manière fonctionnel ou géographique" (article 9).

Le texte supprime, à l’article 11, les déclarations préalables à la mise en œuvre des traitements. Les déclarations à effectuer auprès de la CNIL, et les autorisations qu’elle délivre seront remplacées par l’obligation par le responsable du traitement d’effectuer préalablement une analyse d’impact en cas de risque élevé pour les droits et libertés de la personne concernée et, le cas échéant, de consulter la CNIL.

Les déclarations préalables sont maintenues pour les traitements qui portent sur des données comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR), les traitements de données biométriques ou génétiques mis en œuvre pour le compte de l’Etat, ainsi que les données de santé. Les sanctions prononçables par la Cnil en cas de manquements du responsable du traitement ou de son sous-traitant sont renforcées, le plafond des amendes passera de 150.000 € à 10 millions € ou, pour une entreprise, à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, ces plafonds étant doublés en cas de non-respect d'une injonction de l'autorité de contrôle, conformément au RGPD.

Le Conseil constitutionnel a été saisi le 16 mai 2018 d’un recours déposé par au moins soixante sénateurs.
 
Notes
puce note (1) Projet de loi relatif à la protection des données personnelles
puce note (2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
puce note (3) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données
puce note (4) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
 
 
Informations légales | Données personnelles