DOSSIER - Réforme de la Loi informatique et Libertés
Afin d'être adaptée aux règles européennes sur la protection des données personnelles, la loi «Informatique et libertés » de 1978 vient d’être réformée.
Loi 2018-493 du 20 juin 2018 relative à la protection des données personnelles, JO du 21, texte 1
Le 25 mai 2018, le RGPD, c’est-à-dire le règlement 2016/679 sur la protection des données à caractère personnel, est devenu applicable dans l’ensemble des pays de l’Union européenne.
Bien que ce règlement soit directement et automatiquement applicable dans les États membres, il était acquis que la France, à l’instar des autres pays européens, adopterait un texte d’adaptation du droit français au règlement.
En dépit d’une volonté affichée de disposer d’une loi promulguée le 25 mai 2018, le recours à la procédure accélérée n’aura pas suffi pour permettre à la France d’atteindre cet objectif. Le texte définitif a été adopté le 14 mai 2018 mais a été déféré au Conseil constitutionnel par un groupe de sénateurs.
Le Conseil s’est prononcé le 12 juin 2018 en validant pour l’essentiel le projet de loi tel qu’adopté par l’Assemblée Nationale. C’est dans ces circonstances que la loi française a été promulguée le 20 juin 2018.
L’article 37 de cette loi prévoit une entrée en vigueur rétroactive au 25 mai 2018 pour la quasi-totalité de ses dispositions.
Structure et contenu de la loi française
La loi nouvelle vise à adapter le droit français au « paquet européen de protection des données personnelles » et comporte, dans ce cadre, deux volets : le premier intègre dans le droit français le RGPD ; le second transpose dans le droit français la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.
La loi nouvelle a pour objet d’assurer la mise en conformité du droit français avec le texte du RGPD ainsi que de prendre position sur la cinquantaine de marges de manœuvre qui figurent dans ledit règlement et qui permettent aux États membres de préciser certaines dispositions ou d’aller plus loin que ce que prévoit le droit européen.
Sur la forme, le choix symbolique a été fait de conserver la loi 78-17 du 6 janvier 1978, dite « loi Informatique et libertés » et de procéder par modifications de celle-ci.
La loi nouvelle prévoit que les modifications apportées à la loi de 1978 seront complétées par des textes réglementaires, arrêtés et décrets pris après avis de la Commission nationale de l’informatique et des libertés (CNIL).
Un travail plus technique de mise en cohérence de la loi de 1978 devra par ailleurs être fait par ordonnance. L’objectif du gouvernement était en effet de permettre au parlement de débattre sur les mesures les plus importantes relatives aux marges de manœuvre prévues par le Règlement, afin de laisser la représentation nationale se prononcer sur les grandes orientations en matière de protection des données et, une fois ces choix opérés et la loi promulguée, de réaliser la deuxième étape plus technique par ordonnance.
Ordonnances à venir
La loi nouvelle autorise le gouvernement à prendre par voie d’ordonnance les mesures nécessaires : à la réécriture de l’ensemble de la loi Informatique et Libertés afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le Règlement, ainsi que pour mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel.
TRANSPOSITION DE LA DIRECTIVE
La loi nouvelle a également pour objet de transposer la directive 2016/680.
Cette directive vise à faciliter le libre flux des données à caractère personnel entre les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuite, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces au sein de l’Union, ainsi que le transfert de telles données vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.
Cette directive devait être transposée avant le 6 mai 2018.
Prenant ici également un peu de retard, la France ne l’aura donc transposée que le 20 mai 2018.
Les grandes lignes de la loi nouvelle
La loi nouvelle ne reprend pas l’ensemble des dispositions du RGPD, qui sont directement applicables dans le droit français, mais adapte le texte de la loi « Informatique et libertés » afin de le rendre cohérent avec le RGPD (travail de cohérence qui devra être complété par ordonnance) et statue sur les marges de manœuvre laissées aux États membres.
Outre les dispositions relatives aux pouvoirs de la CNIL, les principales dispositions de la loi nouvelle concernent les points suivants :
Données sensibles
La loi nouvelle reprend l’interdiction de principe, sauf exceptions, du traitement des données « sensibles » (RGPD, art. 9).
Parmi ces données qualifiées de « catégories particulières de données à caractère personnel » par le RGPD, les données biométriques et génétiques ne figuraient pas dans la liste des « données sensibles » de la loi du 6 janvier 1978. La loi du 20 juin 2018 les y intègre.
Le nouveau texte apporte quelques aménagements à l’interdiction de principe, et précise notamment que ne sont pas soumis à l'interdiction les traitements conformes aux règlements types (qui seront établis par la CNIL) mis en œuvre par les employeurs qui portent sur des données biométriques strictement nécessaires au contrôle de l'accès aux lieux de travail, ainsi qu'aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux stagiaires ou aux prestataires.
Champ d’application territorial
La loi du 20 juin 2018 complète les règles fixées par le RGPD, en prévoyant expressément les critères d’application en cas de divergences de législations entre États membres liées aux marges de ma-nœuvre prévues par le RGPD.
Le nouveau texte précise, dans ce cadre, que les règles nationales s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France, à l’exception des traitements en matière de liberté d’expression et d’information qui relèveront des règles nationales du responsable du traitement établi dans l’Union européenne.
Allégement des formalités préalables
Suivant la logique nouvelle de responsabilisation qu’il introduit, le RGPD entraîne une réduction importante des formalités préalables, à charge pour les acteurs concernés de se conformer aux obligations subséquentes prévues par le RGPD telle que la tenue d’un ou plusieurs registres.
La loi du 20 juin 2018 abroge le régime déclaratif prévu dans la loi de 1978.
Elle conserve un régime d’autorisation préalable pour certains traitements : traitements mis en œuvre pour le compte de l’État qui portent sur des données génétiques, ou des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes ; traitements qui mettent en œuvre le numéro d'inscription au répertoire (NIR) par des personnes publiques ou privées, étant précisé qu’un décret cadre devra être adopté pour autoriser l'utilisation du NIR par catégorie de responsables de traitement et pour des finalités précises. Ne sont toutefois pas concernés les traitements qui ont pour objet de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique.
Des dispositions transitoires sont prévues pour les traitements comportant le NIR ayant fait l’objet d’une autorisation. Les autres autorisations qui étaient prévues par la loi de 1978 sont abrogées. Cela étant, les traitements auparavant concernés par ces autorisations seront soumis au droit commun prévu par le RGPD, à savoir en particulier une consultation de la CNIL préalablement au traitement lorsqu’une analyse d’impact révélera que le traitement présenterait un risque élevé si le responsable ne prenait pas les mesures pour atténuer ce risque.
Sous-traitants
Les sous-traitants voient, avec le RGPD, leurs obligations et risques largement étendus.
Par souci de lisibilité, la loi de 2018 précise que le sous-traitant doit respecter les conditions du RGPD.
Le nouveau texte précise que les mesures correctrices et sanctions susceptibles d’être prises par la CNIL ont vocation à s’appliquer également aux sous-traitants. Traitements de données d’infractions L’article 9 de la loi « Informatique et Libertés », qui encadre les conditions dans lesquelles les traitements de données d'infractions, condamnations pénales et mesures de sûreté peuvent être mis en œuvre, est maintenu afin de conserver l’interdiction de principe de ces traitements mais amendé en vue de permettre leur traitement:
-par des personnes morales de droit privé collaborant au service public de la justice (dont la liste sera fixée par décret pris après avis de la CNIL) dans la mesure strictement nécessaire à leur mission ;
-par les personnes physiques ou morales, en tant que victime ou mise en cause, ou pour le compte de celles-ci, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice et de faire exécuter la décision rendue ;
- par les ré-utilisateurs des informations publiques figurant dans les décisions de justice.
Consentement et information des mineurs
Le RGPD laisse aux États membres une marge de manœuvre pour fixer entre 13 et 16 ans (16 ans par défaut) l’âge à partir duquel le mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information. La loi nouvelle utilise cette marge de manœuvre pour fixer cet âge à 15 ans.
Lorsque le mineur est âgé de moins de 15 ans, la loi indique que le traitement n’est licite que si le consentement est donné conjointement par le mineur et le ou les titulaires de l’autorité parentale. Le nouveau texte précise que, lorsque des informations sont collectées auprès d’un mineur de moins de 15 ans, le responsable du traitement met à sa disposition les informations légales « dans un langage clair et facilement accessible ».
Décisions automatisées
La loi du 20 juin 2018 conserve le principe qui figurait dans la loi du 6 janvier 1978 au terme duquel aucune décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel, en précisant, conformément au RGPD, que cette interdiction s’applique également aux décisions « l'affectant de manière significative, y compris le profilage ».
Par ailleurs, la loi nouvelle utilise une des marges de manœuvre prévues par le RGPD pour donner la possibilité à l’administration de recourir à des décisions automatisées (prises le cas échéant sur le fondement d’un algorithme), dans le champ des décisions administratives individuelles, à l’exception du traitement de données sensibles, et à la condition d’offrir d’importantes garanties en contrepartie. Le texte précise notamment que dans ce cas le responsable du traitement doit s’assurer « de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard ».
Actions de groupe
La loi nouvelle réaffirme la possibilité pour une personne de mandater un organisme, une organisation ou une association à but non lucratif pour exercer certains de ses droits, parmi lesquels celui d’introduire une action auprès d’une autorité de contrôle. Le texte, après moult discussions sur ce sujet, étend ce droit aux actions en réparation. Dispositions sur le consentement Le RGPD renforce les conditions de validité du consentement, lequel doit être libre, spécifique, éclairé et univoque.
La loi du 20 juin 2018 intègre une disposition spécifique au terme de laquelle « lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu'il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l'utilisateur final » tel que défini dans le RGPD.
Puis le texte français précise que « Peut en particulier faire obstacle à ce consentement le fait de restreindre sans motif légitime d'ordre technique ou de sécurité les possibilités de choix de l'utilisateur final, notamment lors de la configuration initiale du terminal, en matière de services de communication au public en ligne et aux applications accessibles sur un terminal, présentant des offres et des conditions d'utilisation de nature équivalente selon des niveaux différenciés de protection des données personnelles ».
Autres dispositions
La loi comporte encore des dispositions spécifiques concernant :
-les traitements archivistiques (art. 14),
- le traitement de données à caractère personnel de santé (art. 16) ;
- le traitement de données dans lesquelles figure la mention de la qualité de militaire ( art. 18) ;
- la mise à disposition du registre des traitements dans les établissements publics d’enseignement scolaire (art. 22) ;
- les dérogations au droit à la communication d’une violation de données pour des raisons liées à la sécurité nationale, la défense nationale ou la sécurité publique ( art. 24) ;
- les voies de recours ( art. 25 et s.) ;
- les fichiers d’antécédents ( art. 36).
Source: CCI Info N°160 -Septembre 2018