Loi relative à la protection des données personnelles.
La loi n° 2018/493 relative à la protection des données personnelles du 20 juin 2018 (ci-après la « Loi ») adapte la législation française aux dispositions du règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (ci-après « RGPD ») et à celles de la directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et détection des infractions pénales, d’enquêtes et de poursuites en la matière ou l’exécution de sanctions pénales (ci-après « Directive »).
Afin de transposer le « paquet européen de protection des données », le Gouvernement a fait le choix de conserver l’architecture de la loi n°78/17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
S’il s’agit d’une avancée considérable dans l’adaptation de notre droit national aux évolutions du droit européen, cette adaptation demeure inachevée. En effet, le décret devant préciser certaines dispositions de la Loi n’a toujours pas été publié. En outre, la réécriture de l’ensemble de la loi Informatique et Libertés est renvoyée à une ordonnance qui devra être prise dans les six prochains mois.
Le RGPD laissait aux Etats membres certaines marges de manœuvre pour apporter des précisions ou limitations aux dispositions du RGPD (une cinquantaine d’options au total). Le considérant 8 du RGPD précisait cependant qu’elles devaient se limiter « à la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent. ». La Loi avait ainsi pour objectif de choisir les options laissées à sa disposition.
Nous relevons que les marges d’appréciation n’ont été utilisées que de façon mesurée par le législateur français, favorisant ainsi l’harmonisation européenne.
A titre d’exemples :
Nous soulignons le maintien des formalités préalables pour certains traitements de données personnelles notamment les traitements comportant le Numéro d’Inscription au Répertoire des personnes physiques ou ceux portant sur des données génétiques et biométriques nécessaires à l’authentification ou au contrôle d’identité des personnes.
La majorité numérique est fixée à 15 ans (contre 16 dans le RGPD). Une particularité a cependant été introduite par la Loi pour les mineurs de moins de 15 ans, pour lesquels le consentement devra être donné conjointement à celui du ou des titulaires de l’autorité parentale.
Ce principe du double consentement appelle quelques remarques. D’une part, on peut s’interroger sur la mise en œuvre concrète de cette exigence du double consentement lors de la souscription, par exemple, à un compte personnel sur des réseaux sociaux, qui oblige in fine à fournir encore davantage de données personnelles… D’autre part, il conviendra d’articuler ces règles avec celles relatives à la validité juridique d’un acte accompli par un mineur non émancipé. Rappelons que le mineur non émancipé peut accomplir seul des actes de la vie courante. Dans pareille hypothèse, si au regard du droit des contrats l’intervention des représentants légaux du mineur n’est pas requise, leur consentement sera néanmoins exigé par les règles relatives aux données personnelles.
Par ailleurs, la Loi utilise la marge de manœuvre laissée aux Etats membres pour déroger à l’obligation de notifier toute violation de données notamment lorsqu’il existe un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.
La Loi ajoute de nouvelles exceptions à celles prévues par le RGPD concernant le traitement des données sensibles. Il en va ainsi du traitement par les employeurs ou les administrations portant sur des données biométriques « strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires » et du traitement sur la réutilisation des informations publiques figurant dans les décisions de justice sous réserve qu’ils n’aient « ni pour objet, ni pour effet de permettre la réidentification des personnes concernées ».
Concernant l’interdiction de prendre une décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative sur le seul fondement d’un traitement automatisé de données, une exception est prévue dans la Loi pour les décisions administratives individuelles prises sur le seul fondement d’un algorithme. Toutefois, le recours à de telles décisions demeure encadré, ainsi que l’a souligné le Conseil Constitutionnel dans sa décision 2018-765 du 12 juin 2018. En effet, elles ne doivent pas se fonder sur un traitement de données sensibles (définies à l’article 8) et être entourées d’un certain nombre de garanties. Elles doivent notamment mentionner qu’elles ont été adoptées sur le fondement d’un algorithme, et que les principales caractéristiques de mise en œuvre de l’algorithme doivent être communiquées à la demande de la personne intéressée. Enfin, la décision administrative individuelle doit pouvoir faire l’objet de recours administratifs.
Par ailleurs, nous pouvons souligner le maintien par la Loi de certaines spécificités du droit français telles que le droit de définir des directives relatives au sort de ses données personnelles après sa mort. Le choix de conserver ce droit peut paraître étonnant dans ce mouvement d’harmonisation des règlementations européennes sur la protection des données personnelles.
Enfin, nous pouvons regretter l’absence de précisions concernant la désignation d’un délégué à la protection des données, les nouvelles obligations du responsable de traitement ou encore les nouveaux droits des personnes, concernant lesquels de nombreuses questions demeurent encore en suspens et rendent mal aisée la mise en conformité au RGPD.
Concernant le droit à la portabilité des données, il est absent de la Loi. En revanche, le législateur a procédé à la suppression de l’ensemble des dispositions du Code de la consommation relatives au droit à la récupération et à la portabilité des données en faveur des consommateurs (articles L. 224-42-1 et suivants du Code de la consommation). Cette suppression peut notamment s’expliquer par les difficultés résultant de la mise en œuvre de deux régimes distincts pour la portabilité des données, qui ne se recoupaient pas totalement. Il s’agissait néanmoins d’un arsenal juridique important pour les consommateurs. Le droit à la portabilité, qui est désormais cantonné aux seules données personnelles (régi par l’article 20 du RGPD), est donc restreint.
Pour conclure, nous pouvons regretter la complexité et le manque de lisibilité de la Loi. Les difficultés de compréhension s’expliquent notamment par le choix du Gouvernement de ne réaliser que les modifications indispensables à la mise en œuvre du RGPD et de la Directive. Il s’ensuit l’enchevêtrement de trois régimes distincts : du RGPD, de la Directive, et des dispositions nationales. Ce défaut de clarté et le manque de précisions notamment quant aux obligations des responsables de traitement entravent la mise en conformité des acteurs concernés.
Cela nous conduit à nous interroger sur la stratégie de contrôle qui sera adoptée par la CNIL quant au respect des nouvelles exigences en matière de protection des données personnelles.
A cet égard, la CNIL a récemment précisé les trois grandes thématiques sur lesquelles elle portera son attention, à savoir les traitements liés au recrutement, les pièces justificatives demandées par les agences immobilières, ainsi que les traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés.
En tout état de cause, si la CNIL, ainsi qu’elle l’a annoncé, fera preuve de souplesse dans la mise en œuvre de ses contrôles, il appartiendra aux acteurs concernés de justifier de la dynamique engagée afin de se conformer aux nouveaux impératifs liés à la protection des données personnelles.