02
07 2018
La loi du 20 juin 2018 relative à la protection des données personnelles
La loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles est désormais publiée au Journal officiel.
Elle vient adapter et préciser la célèbre loi Informatique, Fichiers et Libertés de 1978 au « paquet » européen de protection des données d’avril 2016 [1] lequel comprend notamment le célèbre Règlement Général relatif à la Protection des Données à caractère personnel (RGPD).
Sur le fond, cette loi ne constitue pas une révolution mais bien une évolution nécessaire à la mise en œuvre effective du RGPD en droit français. Pour rappel, le considérant 8 de ce Règlement européen prévoit une marge de manœuvre pour chaque Etat membre en vue d’une intégration harmonieuse et souple de ses principales lignes directrices[2].
Et c’est précisément cette voie qu’emprunte le législateur français en adoptant la loi du 20 juin 2018 !
Par conséquent, quelles sont les principales évolutions apportées par la loi du 20 juin 2018 ?
I – Un élargissement des pouvoirs de la CNIL
A – Fin du régime déclaratif
La principale évolution concerne les pouvoirs de la Commission Nationale de l’Informatique et des Libertés (CNIL) qui sont largement revus. Comme cela était prévu par le RGPD, la loi met en place un contrôle a posteriori remplaçant le régime de déclaration (ou d’autorisation) préalable des traitements de données. Seules subsistent les déclarations ou les demande d’autorisation pour :
- Les traitements de données génétiques ou biométriques mis en œuvre pour le compte de l’Etat ;
- Les traitements qui intéressent la sûreté de l’Etat, la défense, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ;
- Les traitements comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR), sauf exceptions. Un décret en Conseil d’Etat viendra détailler les catégories de responsables du traitement pouvant traiter des données comportant le NIR et les finalités de ces traitements ;
- Les traitements de données de santé justifiés par une finalité d’intérêt public.
B – Les nouvelles missions de la CNIL
Comme indiqué précédemment, avec la fin du régime déclaratif, les formalités préalables tendent à disparaître ; de ce fait, les missions de la CNIL sont logiquement amenées à évoluer en plus de celles qu’elle exerce déjà :
La CNIL, organe certificateur : la CNIL détient désormais un pouvoir de certifier des personnes, des produits, des systèmes de données ou des procédures afin de reconnaître leur conformité RGPD. De même, elle a la faculté d’agréer des organismes certificateurs sur la base de l’accréditation qui leur a été délivrée par le COFRAC (organisme d’accréditation français) ou de décider conjointement avec ce dernier de lui déléguer cet agrément dans les conditions précisées par décret en Conseil d’Etat.
La CNIL, autorité incontournable en matière de conseils sur la protection des données personnelles : plus que jamais, la CNIL devient incontournable sur ce sujet à l’échelle nationale. Elle a notamment le pouvoir d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements. Elle pourra aussi encourager l’élaboration de codes de conduite par les différents acteurs traitant des données. De même, elle aura la faculté de rédiger et de publier des règlements types permettant d’assurer la sécurité des systèmes de traitement et d’encadrer les traitements de données de santé ainsi que les données biométriques et génétiques. Enfin, elle pourra être consultée sur toute proposition de loi portant sur la protection des données personnelles et déposée au Parlement à l’initiative d’un ou de plusieurs parlementaires.
La CNIL autorité de contrôle et de sanction : avec la loi du 20 juin 2018, les pouvoirs de la CNIL en matière de contrôle et de sanction sont précisés.
- Les contrôles: les modalités d’audit et de contrôle sur place sont affinés, spécifiquement au regard du secret professionnel ou du secret médial qui pourrait lui être opposé lors desdits contrôles. A l’issue des investigations, la CNIL procède à des vérifications pouvant aboutir à :
- L’émission d’une mise en demeure ou d’un avertissement notamment si le manquement constaté est susceptible de faire l’objet d’une mise en conformité ;
- Ou, à la saisine d’une formation restreinte dédiée en vue d’une sanction pécuniaire, d’une injonction de cesser le traitement ou d’un retrait de l’autorisation accordée par la CNIL.
Enfin, et c’est à noter, les contrôleurs de la CNIL pourront désormais procéder à des contrôles en ligne sous une identité d’emprunt, sans incidence sur la régularité des constatations.
- Les sanctions: en cas de violation des règles relatives aux données personnelles, l’autorité indépendante peut désormais prononcer à l’encontre d’un responsable de traitement ou d’un sous-traitant une astreinte voire le retrait d’une certification ou d’un agrément. L’astreinte ne pourra pas dépasser 100 000 euros/jour de retard.
La CNIL pourra en outre prononcer des sanctions administratives conformément aux dispositions du RGPD c’est-à-dire jusqu’à 2% ou 4% du chiffre d’affaire annuel mondial d’une entreprise ou 10 ou 20 millions d’euros, le montant le plus élevé étant retenu.
II – Une évolution des droits des personnes à l’heure du numérique
A – Majorité Numérique
L’autre nouveauté de cette loi porte sur la majorité numérique qui est fixée à 15 ans : cela renvoie à l’âge à partir duquel un adolescent à la faculté de consentir seul, sans autorisation des titulaires de l’autorité parentale, au traitement de ses données.
Evidemment, ceci doit être corrélé avec les grands principes du RGPD et spécifiquement celui relatif à la transparence de l’information concernant l’exercice de ses droits : cette information doit être formulée en des termes clairs et accessibles afin de garantir la viabilité du consentement recueilli ; ceci prend une dimension toute particulière lorsque le public visé est jeune.
B – Possibilité pour l’administration de recourir à des décisions automatisées basée sur un algorithme
Par ailleurs, la loi facilite la possibilité pour l’administration de recourir à des décisions automatisées, basées exclusivement sur un algorithme, ce qui était précédemment interdit. Cette évolution a été validée par le Conseil constitutionnel dans sa décision du 12 juin 2018[3]. Pour autant, si un tel recours aux algorithmes est autorisé, il est strictement encadré :
- Le droit à l’information des administrés doit être impérativement respecté : la décision administrative individuelle doit mentionner explicitement qu’elle a été adoptée sur le fondement d’un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande.
- En outre, il est expressément interdit que des données sensibles soient utilisées dans ce cadre.
- Enfin, la décision administrative individuelle basée sur un algorithme doit pouvoir faire l’objet de recours administratifs faisant intervenir un être humain; l’administration sollicitée à l’occasion du recours est alors tenue de se prononcer en ne se fondant plus exclusivement sur l’algorithme.
C – Les autres évolutions concernant les droits des personnes
Toujours au titre du respect des droits des individus, la loi du 20 juin prévoit la mise en place des droits d’information, d’accès, de rectification et d’effacement à destination de toute personne fichée en matière pénale.
Enfin, ce texte contraint les établissements publics des premiers et seconds degrés de tenir un registre de traitements des données scolaires et de le mettre à disposition des parents d’élèves afin que ceux-ci puissent être informés des modalités de traitement des données de leurs enfants.
III – La consécration des actions de groupe en matière de protection des données à caractère personnel
Dans l’hypothèse d’une violation des règles relatives aux données personnelles, la loi autorise explicitement la mise en place des actions de groupe pour :
- Faire cesser tout manquement d’un responsable de traitement ou d’un sous-traitant ;
- Obtenir réparation du préjudice subi (et des dommages et intérêts notamment).
Les actions de groupe pourront exclusivement être mises en œuvre par l’intermédiaire d’une association ou d’une organisation dédiée à la protection des données personnelles.
A noter : dans le cadre de ces actions de groupe, seul un fait générateur du dommage postérieur au 25 mai 2018 sera susceptible d’engager la responsabilité de la personne ayant causé ledit dommage.
Cette reconnaissance constitue un enjeu majeur pour les entreprises traitant des données personnelles : en plus des potentielles sanctions administratives et pécuniaires, elles sont désormais confrontées à un risque avéré de dommages et intérêts dans l’hypothèse où une action de groupe serait lancée à leur encontre.
IV – Des précisions sur certaines catégories de traitement de données
La loi du 20 juin vient étendre le statut des données sensibles aux données génétiques et biométriques ainsi qu’à l’orientation sexuelle des personnes. Par conséquent, de par leur classification, ce type de données ne peut désormais plus faire l’objet d’un traitement, sauf si la personne concernée les a rendues publiques ou y a expressément consenti. Concernant les données biométriques, une autre exception est prévue : un tel traitement est possible en cas de contrôles d’accès ou de contrôles des ordinateurs et des applications sur le lieu de travail.
La loi du 20 juin 2018 vient donc adapter et traduire les grandes lignes du RGPD en droit français. Cette traduction n’est néanmoins pas encore finalisée car le législateur a prévu la publication ultérieure de plusieurs décrets supplémentaires destinés à parachever ce processus.
Néanmoins, malgré le retard pris, l’objectif apparaît de prime abord rempli : le droit à la protection des données personnelles des principaux intéressés, à savoir les citoyens, sont clairement renforcés par ce nouveau texte.
[1] Le « paquet » européen comprend le règlement (UE) 2016/679 et la directive n°2016-680 tous deux datés du 27 avril 2016 et dont la transposition devait avoir lieu avant le 8 mai 2018
[2] Considérant 8 du RGPD : « Lorsque le présent règlement dispose que le droit d’un État membre peut apporter des précisions ou des limitations aux règles qu’il prévoit, les États membres peuvent intégrer des éléments du présent règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent ».
[3] Décision n° 2018-765 DC du 12 juin 2018 – Loi relative à la protection des données personnelles