Accueil
Le quotidien du droit en ligne
-A+A
Article

Données personnelles : le futur cadre légal entrera en vigueur le 25 mai 2018

Les 23 et 24 janvier 2018, la commission des lois de l’Assemblée nationale a débattu du projet de loi « relatif à la protection des données personnelles ». Elle a auditionné la ministre de la justice, Nicole Belloubet, avant l’examen des 244 amendements.

par Thomas Coustetle 26 janvier 2018

La loi Informatique et libertés du 6 janvier 1978 aura tenu 40 ans et s’apprête à être remplacée par le projet de loi n° 490 actuellement discuté en première lecture à l’Assemblée nationale. Le projet, qui n’est en réalité qu’une transposition du « nouveau cadre européen » en la matière, a été globalement bien accueilli par la commission des lois. Comme c’est l’usage, les députés ont auditionné la garde des Sceaux avant discussion du texte et des amendements.

Un nouveau cadre pour une nouvelle « ère numérique »

Le fameux cadre européen, qui entrera en vigueur le 25 mai 2018, comprend le règlement européen RGPD 2016/679 du 27 avril 2016 (v., pour une présentation générale, Dalloz actualité, 25 déc. 2017, art. J.-M. Pastor isset(node/188206) ? node/188206 : NULL, 'fragment' => isset() ? : NULL, 'absolute' => )) .'"'>188206) et la directive 2016/680 du même jour applicable à la sphère pénale.

Même si la commission nationale de l’informatique et des libertés (CNIL) l’a déploré dans son avis du 30 novembre, la France a choisi « une méthode de transposition simple », selon les termes de la ministre – comprendre a minima. Ainsi, le projet de loi ne « recopiera pas le règlement », mais seulement les dispositions qui s’imposent. Il s’agit surtout de la directive qui ne bénéficie pas d’une applicabilité directe.

La ministre a d’ores et déjà renvoyé à une « réécriture d’ensemble » pour la codification sous forme d’ordonnances ultérieures.

Fin du contrôle préalable pour les entreprises : « un nouveau paradigme »

C’est la grande nouveauté : le dispositif supprime le traitement a priori des données personnelles, de sorte qu’à partir du 25 mai 2018, les entreprises pourront collecter les informations sur leurs clients sans déclaration préalable auprès de la CNIL. Il s’agit « d’un nouveau paradigme », a estimé la ministre, ou encore « d’une nouvelle ère », selon certains députés de la majorité, dont le député Rémy Rebeyrotte.

Le nouvel environnement se veut donc moins contraignant sur le plan administratif mais il sera assorti en contrepartie d’une responsabilité accrue. Le contrôle renforcé sera assuré a posteriori, soit par la CNIL, soit par l’utilisateur. La CNIL pourra adresser des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires.

En cas de traitement à « grande échelle », la ministre a rappelé qu’un garde-fou a été instauré, puisque le nouveau cadre impose un délégué à la protection.

Maintien du contrôle a priori pour les données « sensibles ».

En matière pénale, la directive transposée maintient le régime d’autorisation préalable pour les traitements mis en œuvre sur les données biométriques, les données génétiques et sur celles comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques.

En revanche, les députés ne se sont pas saisis de l’occasion pour débattre de la question des métadonnées dans la chaîne pénale. Leur traitement devrait donc suivre celui des fichiers affectant la sûreté de l’État et la défense nationale, non soumis à ce nouveau régime juridique. Ce problème a pourtant été soulevé par le procureur de la République François Molins (v. Dalloz actualité, 23 janv. 2018, art. T. Coustet isset(node/188784) ? node/188784 : NULL, 'fragment' => isset() ? : NULL, 'absolute' => )) .'"'>188784) lors de la rentrée solennelle du tribunal de grande instance de Paris.

Un droit à la portabilité pour les citoyens

La garde des Sceaux a tenu à souligner les droits « renforcés » dont bénéficient les personnes physiques. Si la majorité numérique a été maintenue à seize ans, à l’image de ce que prévoit le règlement, le citoyen va bénéficier d’un « droit à la portabilité des données personnelles », c’est-à-dire à récupérer, sans doute plus rapidement, les données fournies chez n’importe quel opérateur dès lors qu’il a réalisé sa prestation au sein l’Union européenne.

244 amendements déposés

Sur les 244 propositions de modification, certains ont attiré l’attention. C’est le cas de l’amendement déposé par Laura Forteza (CL 262), rapporteure de la loi. Il renforce l’action de groupe en matière de données personnelles et propose l’indemnisation des préjudices matériels et moraux.

L’amendement a été adopté en commission le 24 janvier dernier contre l’avis de la garde des Sceaux. Nicole Belloubet a précisé à cette fin qu’il n’était pas souhaitable « d’envisager à ce stade une modification de la loi Justice 21 ».

Un autre amendement (CL 69), ambitieux par son contenu, et déposé par l’opposition, visait à instaurer une protection des données par défaut à l’opérateur. Il n’a pas convaincu et a été retiré.

Concrètement, il imposait pourtant aux opérateurs de configurer par défaut le terminal de manière à ce qu’il « n’incite pas l’utilisateur final à recourir, à des fins de recherche d’informations, à un service qui collecte et conserve tout ou partie des requêtes associées à des données personnelles de l’utilisateur », comme c’est le cas actuellement. 

Première pierre d’un droit de l’open data des décisions de justice

Qu’en est-il de l’open data des décisions de justice ? Si le sujet ne concerne pas directement la question de la protection des données, la mise à disposition des décisions de justice peut comporter des données sensibles, comme l’identité des individus. Le rapport Cadiet recommandait à ce titre de limiter le spectre de la collecte aux informations « qui ne permettent pas l’identification des intervenants » (v. Dalloz actualité, 10 janv. 2018, art, M. Babonneau et T. Coustet isset(node/188535) ? node/188535 : NULL, 'fragment' => isset() ? : NULL, 'absolute' => )) .'"'>188535).

Le gouvernement s’en est donc saisi et a introduit un amendement (CL 260) qui prévoit la réutilisation des informations figurant dans les jugements et décisions disponibles en open data « mais à la condition qu’elles ne permettent pas l’identification des personnes concernées ». Cette condition a été adoptée.

L’adoption du texte ne règle pas pour autant la question de sa mise en œuvre. Si la mission Cadiet a posé les termes du problème, elle a surtout relevé que le niveau d’exigence posé par les textes européens rendait « cet objectif complexe, voire impossible à atteindre […], sauf à retirer de la décision l’essentiel de son contenu et à porter atteinte aux exigences fondamentales du droit à un procès équitable ». Autant dire que le débat reste ouvert, vu que la transposition est réduite au minimum.

Le texte sera débattu en séance publique du 6 au 8 février 2018. Là encore, la méthode interroge certains députés. Philippe Latombe, député du Modem, a regretté hier que « le délai réduit pour discuter d’un texte qui présente un tel enjeu politique ».