1. Le projet de loi destiné à assurer l’adaptation de la législation nationale au droit de l’Union européenne en matière de protection des données personnelles a été adopté le 17 décembre dernier par le conseil des ministres. Déclaré d’urgence, il devra être voté par les assemblées parlementaires dans un délai permettant la mise en application à partir du 25 mai 2018 du règlement européen 2016/79 du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » (BRDA 9/17 inf. 19), plus simplement dénommé « règlement général sur la protection des données » (RGPD), ou encore « general data protection regulation » (GDPR).
Le règlement doit se substituer à la directive 95/46 du 24 octobre 1995, qui avait entrepris d’harmoniser les législations des Etats membres de la Communauté européenne dans le domaine de la protection des données personnelles. La directive n’était cependant pas suffisamment contraignante pour que cet objectif soit atteint. Alors que les systèmes nationaux continuaient à comporter des différences notables, il a été jugé indispensable de recourir à l’instrument juridique du règlement européen.
En effet, une directive, qui nécessite des mesures de transposition, constitue pour les Etats un cadre relativement souple. Au contraire, un règlement est obligatoire dans tous ses éléments et directement applicable au sein de chaque ordre juridique national.
2. Le RGPD sera mis en application à partir du 25 mai 2018. A compter de cette date, la directive 95/46 sera abrogée. Le règlement ne sera pas seulement opposable aux Etats membres de l’Union. De même qu’un texte national, il créera immédiatement des droits au profit des particuliers et mettra également des obligations à leur charge. D’où la nécessité pour les entreprises de mettre leurs traitements informatisés en conformité avec les nouvelles dispositions qui, à une exception près, entreront en vigueur à la date butoir du 25 mai 2018.
Cette exception portera sur l’obligation faite aux responsables de traitement ou à leurs sous-traitants d’établir, pour chaque traitement, un journal des opérations de collecte, de modification, de consultation et de communication. Les entreprises ne seront tenues à une telle obligation qu’à une date ultérieure qui sera fixée par décret.
3. Dans l’immédiat, un constat essentiel s’impose : les futures règles relatives à la protection des données personnelles représenteront un ensemble particulièrement complexe et dont l’assimilation nécessitera des efforts importants de la part de toutes les parties prenantes. La Cnil, saisie pour avis de l’avant-projet de loi, l’a souligné dans sa délibération n° 2017-299 du 30 novembre 2017.
Trois séries de raisons expliquent cette future complexité.
Le double objet de la nouvelle législation
1. A titre principal, le projet de loi adapte aux dispositions du RGPD plusieurs articles de la loi du 6 janvier 1978 « Informatique et libertés ». Mais il a aussi pour objet de transposer la directive 2016/680 du 27 avril 2016, qui a été adoptée le même jour que le règlement. La directive traite du traitement des données personnelles à caractère pénal (prévention et détection des infractions, enquêtes et poursuites, exécution des sanctions pénales) dans la mesure où le RGPD ne régit que très partiellement le domaine pénal. Comme le fait celui-ci d’une manière générale pour la plupart des traitements, la directive ouvre aux personnes concernées par des données pénales un droit à l’information, un droit d’accès, un droit de rectification et un droit à l’oubli.
Or, une partie substantielle du projet de loi (son titre Ier) contient des dispositions communes à l’application du RGPD et à la transposition de la directive. Par ailleurs, son titre III est entièrement consacré à cette transposition. La loi du 6 janvier 1978, qui actuellement se borne à garantir la sécurité des traitements de données relatives aux infractions, condamnations et mesures de sûreté (art. 9), sera donc complétée pour que soit organisé un dispositif propre à la protection des données pénales (droits des personnes concernées, obligations incombant aux autorités compétentes et aux responsables de traitements, transfert des données vers les pays tiers).
La refonte d’importantes dispositions nationales
2. Un second facteur de complication résulte de l’économie même du RGPD. S’il s’agissait d’un règlement classique, il ne serait pas nécessaire de modifier la législation nationale. Le nouveau texte prendrait purement et simplement la place de la loi de 1978. Mais les pouvoirs publics ont été contraints de réaménager celle-ci.
Essentiellement parce que le RGPD comporte plus de 50 renvois aux droits des Etats membres afin que ceux-ci puissent maintenir ou introduire certaines spécificités nationales. Dans son titre II, le projet de loi utilise certaines de ces « marges de manœuvre » pour assouplir ou, au contraire, durcir les règles européennes.
Au nombre des dispositions correspondantes, figure notamment la suppression de l’obligation de déclaration à laquelle est aujourd’hui soumise la majorité des traitements automatisés. Le RGPD a, en effet, entendu limiter la place des contrôles préalables au profit d’une responsabilisation accrue des opérateurs. Les hypothèses où une autorisation est exigée se trouvent aussi très sensiblement réduites.
Un système particulier de formalité préalable serait créé pour les traitements qui impliquent l’utilisation du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR). Il serait cependant plus souple que le régime d’autorisation actuellement applicable à ces traitements.
3. Parmi les autres modifications apportées à la loi de 1978, il faut relever toutes celles qui sont relatives aux attributions de la Cnil. Le projet de loi tire ici les conséquences des dispositions du RGPD qui exigent de chaque Etat membre qu’il institue des autorités de contrôle chargées de veiller à l’application des règles européennes.
Le projet ne remet cependant pas en cause la composition ni l’organisation de la Cnil. Mais il remplace les articles 45, 46 et 47 de la loi de 1978 par de nouveaux textes qui reprendraient le contenu du RGPD en vue de définir les mesures correctrices et les sanctions pécuniaires que pourra prononcer la Commission. Il réaménage également le dispositif des contrôles que peuvent exercer les agents de la Cnil, notamment dans les locaux servant à la mise en œuvre de traitements. De plus, divers mécanismes permettraient d’assurer une coopération entre la Cnil et les autres autorités nationales de contrôle.
Conformément aux dispositions du RGPD, les sanctions susceptibles d’être infligées aux entreprises seraient le plus souvent plafonnées à 2 % du chiffre d’affaires mondial total de l’exercice précédent. Dans le cas des manquements les plus graves, le plafond serait relevé à 4 % du même chiffre d’affaires.
Un renvoi implicite au RGPD sur de nombreux points
4. Une dernière difficulté, et non la moindre, vient du choix retenu par les pouvoirs publics, qui n’ont pas intégré dans la loi du 6 janvier 1978 l’ensemble des dispositions du RGPD. Partant du principe selon lequel un règlement directement applicable ne se « recopie » pas, les auteurs du projet de loi ont passé presque entièrement sous silence des innovations, pourtant essentielles, du règlement européen. En particulier :
- l’obligation faite, dans certains cas, aux responsables de traitement de réaliser, avant un traitement de données personnelles, une étude d’impact sur les opérations envisagées ;
- l’institution du délégué à la protection des données (ou « Data Protection Officer », DPO) et celle du registre des activités de traitement ;
- l’ensemble des droits reconnus aux personnes concernées (droit à l’information ; droits d’accès, de rectification, d’opposition ; droits à l’oubli, à la limitation du traitement, à la portabilité des données) ;
- le transfert des données vers les pays tiers.
5. Il faudra donc à l’avenir consulter simultanément la loi de 1978, dans sa nouvelle version, et le RGPD lui-même. La combinaison entre les deux textes sera d’autant plus délicate que, non seulement la loi ne devrait pas « recopier » intégralement les règles européennes, mais que, de plus, il n’a pas été envisagé d’abroger toutes les dispositions nationales qui deviendront contraires au RGPD.
La Cnil a ainsi relevé, à juste titre, que « des dispositions formellement inchangées et toujours en vigueur de la loi de 1978 ne seront en réalité plus applicables, car substituées, dans leur champ, par les dispositions du règlement (par exemple sur le consentement, la base légale des traitements ou la portée des droits reconnus aux personnes), tandis que la loi nationale ne comportera aucun écho à certains nouveaux droits ou nouvelles obligations posées par le règlement » (Avis précité).
En conséquence, les « silences » de la loi par rapport aux innovations du droit européen devront être interprétés avec la plus grande précaution.
Par exemple, le RGPD (art. 8) contient des dispositions particulières relatives à « l’offre directe de service de la société d’information » lorsqu’elle est destinée aux enfants. Le traitement n’est licite que si l’enfant est âgé d’au moins 16 ans. Cependant, l’une des « marges de manœuvre » prévues par le règlement permet de ramener à 13 ans cette limite d’âge. Comme les pouvoirs publics français n’entendent pas utiliser cette possibilité, il faudra comprendre, alors que la loi ne dira rien de la question, que la limite d’âge applicable sera celle de 16 ans.
6. Les auteurs du projet de loi sont évidemment conscients de toutes ces difficultés. C’est pourquoi le texte prévoit que des ordonnances devront, dans un délai de 6 mois à compter de la promulgation de la loi, réécrire l’ensemble de la législation nationale en fonction des exigences du droit européen.
De sorte qu’il conviendra de patienter encore un peu avant d’y voir plus clair.
