Imprimer

Protection des données personnelles : que contient la loi du 20 juin 2018 ?

le 21 06 2018

La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018. Elle adapte la loi "Informatique et libertés" du 6 janvier 1978 au "paquet européen de protection des données". Ce paquet comprend le règlement général sur la protection des données (RGPD), un règlement du 27 avril 2016 directement applicable dans tous les pays européens au 25 mai 2018 ainsi qu’une directive datée du même jour sur les fichiers en matière pénale, dite directive "police".

Chargement du player en cours ...

La loi fondatrice du 6 janvier 1978 est modifiée sur plusieurs points pour la mettre en conformité avec le RGPD (missions et pouvoirs de la CNIL, élargissement des données sensibles) ou tirer parti des marges de manœuvre qu’il permet (majorité numérique, etc.).

L’adaptation du rôle de la CNIL et de ses pouvoirs de contrôle et de sanction

La composition, les missions et les pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL) sont modifiés.

L’évolution des missions de la CNIL

Les missions de la CNIL évoluent afin de les adapter à la nouvelle logique de responsabilisation et d’accompagnement des acteurs traitant des données (entreprises, administrations, etc.) instaurée par le RGPD. Les formalités préalables auprès de la CNIL sont quasiment toutes supprimées. En complément des missions qu’elle exerce déjà, la CNIL est désormais chargée :

  • d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ;
  • d’encourager l’élaboration de codes de conduite par les acteurs traitant des données ;
  • de produire et de publier des règlements types afin d’assurer la sécurité des systèmes de traitement et de régir les traitements de données biométriques, génétiques et de santé ;
  • de certifier des personnes, des produits, des systèmes de données ou des procédures ;
  • de lister les fichiers pénaux pouvant présenter un risque élevé pour les droits et libertés des personnes.

Dans l’exercice de ses missions, la CNIL doit prendre en compte les besoins propres des collectivités locales, dont beaucoup s’inquiètent des nouvelles règles européennes. Pour les aider, la CNIL a publié sur son site internet plusieurs pages qui leur sont dédiées. La loi prévoit que les petites et moyennes entreprises (TPE-PME) doivent également faire l’objet d’un accompagnement personnalisé. La CNIL, en partenariat avec Bpifrance, a d’ores et déjà mis à leur disposition un guide pratique les sensibilisant au RGPD.

Toujours au titre de ses missions, la CNIL peut dorénavant être consultée sur toute proposition de loiProposition de loiProjet de texte législatif déposé au Parlement à l’initiative d’un ou plusieurs parlementaires. portant sur la protection des données personnelles par les présidents ou les commissions compétentes de l’Assemblée nationale ou du Sénat et par les présidents des groupes parlementaires.

Le renforcement des pouvoirs de contrôle et de sanction de la CNIL

Les pouvoirs de contrôle de la CNIL sont précisés et étendus. La nature des locaux que ses agents peuvent visiter et les conditions dans lesquelles le secret professionnel, notamment médical, peut leur être opposé sont redéfinies. De plus, pour les contrôles en ligne, les agents peuvent dorénavant recourir à une identité d’emprunt.

Plusieurs articles de la loi sont également consacrés à la procédure de coopération entre la CNIL et les autres autorités de protection européennes en cas de traitements transnationaux (touchant des personnes de plusieurs pays européens). Le RGPD pose, en effet, de nouvelles règles en la matière. L’objectif est d‘apporter une réponse unique en cas d’atteinte au droit à la vie privée des citoyens de plusieurs pays européens (la récente affaire Cambridge Analytica-Facebook en est une illustration).

Les pouvoirs de sanction de la CNIL sont par ailleurs adaptés. De nouvelles sanctions, comme le prononcé d’une astreinte ou le retrait d’une certification ou d’un agrément, sont prévues en cas de violation des règles sur la protection des données. En outre, le montant des amendes administratives est fortement augmenté. Ces astreintes et amendes concernent autant les entreprises que les collectivités locales et les associations, qu’elles soient responsables d’un traitement ou sous-traitant. Seul l’État en est dispensé.

Lors de la discussion du projet de loiProjet de loiProjet de texte législatif déposé au Parlement à l’initiative du gouvernement., le Sénat voulait exempter les collectivités locales de ces sanctions financières. Il souhaitait également que leur produit serve à financer l’accompagnement par l’État des responsables de traitement et de leurs sous-traitants. Il a, de plus, proposé la création d’une dotation communale et intercommunale afin d’aider les collectivités à se mettre en conformité avec le RGPD. Cette mise en conformité va, en effet, avoir un coût budgétaire pour les petites collectivités. Toutefois, ces amendements ont été rejetés. Néanmoins, à la demande des sénateurs, la mutualisation des services numériques entre les collectivités et leurs groupements est facilitée. Les communes peuvent, en particulier, se doter d’un délégué à la protection des données commun.

L’élargissement des données sensibles

Conformément au RGPD, le champ des données sensibles (sur l’origine raciale, les opinions politiques, etc.) est étendu aux données génétiques et biométriques ainsi qu’aux données relatives à l’orientation sexuelle d’une personne. En principe, ces données ne peuvent pas faire l’objet d’un traitement en raison de leur nature même.

Des dérogations à cette interdiction sont toutefois prévues par le droit européen (si la personne a expressément consenti au traitement de ses données ou si elle les a rendues publiques, en matière de sécurité sociale, etc.). La loi du 20 juin 2018 ajoute d’autres dérogations. Sont notamment permis les traitements de données biométriques (empreintes digitales, etc.) strictement nécessaires aux contrôles d’accès sur les lieux de travail, aux ordinateurs et aux applications utilisés au travail. Sont de même autorisés les traitements portant sur la réutilisation d’informations figurant dans les décisions de justice diffusées dans le cadre de l’open data.

Les marges de manœuvre permises par le RGPD

Le RGPD, bien que d’application directe, contient plus d’une cinquantaine de marges de manœuvre, qui autorisent les États membres à préciser certaines dispositions. La plupart de ces marges de manœuvre ont permis de conserver des dispositions qui existaient déjà dans la loi CNIL de 1978. La loi du 20 juin 2018 n’aménage que quelques points, afin notamment de répondre aux évolutions technologiques et sociétales.

Des formalités préalables maintenues pour certains traitements

Les formalités préalables (autorisations ou déclarations) auprès de la CNIL sont quasiment toutes supprimées. Comme l’autorise le RGPD, la loi en maintient certaines pour :

  • les traitements comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR), sauf exceptions ;
  • les traitements de données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes mis en œuvre pour le compte de l’État ;
  • les traitements qui intéressent la sûreté de l’État, la défense, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ;
  • les traitements de données de santé justifiés par une finalité d’intérêt public (sécurité des médicaments, etc.).

Catégories particulières de traitement

Plusieurs dispositions de la loi sont consacrées à des catégories particulières de traitements. Sont notamment visés les traitements de données de santé, qui font l’objet d’un régime spécifique.

Sont aussi concernés les traitements de données sur les infractions, condamnations ou mesures de sûreté connexes (hors champ de la directive c’est-à-dire à d’autres fins que la prévention et la répression des infractions). Ces traitements peuvent dorénavant être effectués par une liste élargie de personnes : par exemple des associations d’aide aux victimes ou de réinsertion ou des personnes mises en cause ou victimes dans une procédure pénale. En revanche, le Conseil constitutionnel, saisi par des sénateurs Les républicains, a déclaré anticonstitutionnel l’élargissement de la mise en œuvre des tels traitements "sous le contrôle de l’autorité publique" (comme l’hébergement des données sur un serveur). Cette rédaction, qui recopie le RGPD, a été jugée insuffisamment précise.

Droits des personnes

Sur ce point encore, la loi utilise les marges de souplesse permises par le RGPD.

Elle fixe à 15 ans la majorité numérique, c’est-à-dire l’âge à partir duquel un enfant peut consentir seul au traitement de ses données, typiquement sur les réseaux sociaux. Le gouvernementGouvernementOrgane collégial composé du Premier ministre, des ministres et des secrétaires d’Etat chargé de l’exécution des lois et de la direction de la politique nationale. et les sénateurs souhaitaient retenir le seuil de 16 ans, l’âge du consentement fixé par défaut par le RGPD. Le texte a toutefois laissé aux États la possibilité de l’abaisser jusqu’à 13 ans. C’est dans ce cadre que les députés ont voté l’âge de la majorité numérique à 15 ans.

La loi ouvre, par ailleurs, plus largement la possibilité pour l’administration de recourir à des décisions individuelles automatisées. Les décisions fondées exclusivement sur un algorithme ne sont plus interdites. Néanmoins, de nouvelles garanties sont données aux administrés : droits à l’information et à l’explication (déjà consacrés par la loi pour une République numérique de 2016), droit à recours avec une intervention humaine a posteriori, obligation pour l’administration de maîtriser l’algorithme et ses évolutions (prohibition des algorithmes auto-apprenants), interdiction d’utiliser des données sensibles.

Sur ce point les deux chambres étaient à nouveau en désaccord. Les sénateurs souhaitaient encadrer plus strictement l’usage des algorithmes par l’administration. Ils demandaient aussi la transparence des algorithmes utilisés par les universités dans le cadre de Parcoursup (transparence exclue par la loi "orientation et réussite des élèves" du 8 mars 2018). Les propositions du Sénat ont été rejetées mais, sur amendement du gouvernementGouvernementOrgane collégial composé du Premier ministre, des ministres et des secrétaires d’Etat chargé de l’exécution des lois et de la direction de la politique nationale., le fonctionnement de Parcoursup fera l’objet chaque année d’un rapport au ParlementParlementOrgane collégial qui exerce le pouvoir législatif (adoption des lois et contrôle du pouvoir exécutif). En France, le Parlement est composé de deux chambres : l’Assemblée nationale et le Sénat..

Dans sa décision du 12 juin 2018, le Conseil constitutionnel a jugé conforme à la Constitution les nouvelles règles régissant l’emploi des algorithmes par l’administration. Il considère que "le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme".

La loi oblige aussi les établissements publics des premier et second degrés à rendre public, à partir de la rentrée 2018, le registre de leurs traitements de données scolaires. Il s’agit entre autres de permettre aux parents d’élèves de savoir comment les données de leurs enfants sont traitées.

Actions de groupe

Les actions de groupe, déjà autorisées depuis fin 2016 pour faire cesser en justice un manquement par un responsable de traitement ou un sous-traitant, sont étendues à la réparation des préjudices matériels et moraux subis en cas de violation des données personnelles.

En vertu du RGPD, les citoyens peuvent aussi se faire représenter par les associations ou organismes actifs dans le domaine de la protection des données pour exercer en leur nom une réclamation auprès de la CNIL, un recours juridictionnel contre la CNIL ou contre le responsable du traitement ou sous-traitant.

Récemment, l’association La Quadrature du Net a déposé une réclamation collective auprès de la CNIL contre les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) estimant que ces derniers ne respectent pas le RGPD sur le consentement "libre et éclairé" des internautes.

Le libre choix de ses applications sur smartphone

Cette disposition est issue de l’amendement "Bothorel", du nom du député qui l’a porté. Aujourd’hui, la quasi-totalité des smartphones vendus en France et en Europe sont équipés d’un système d’exploitation mobile iOS ou Android qui impose par défaut, donc sans consentement véritable, le même moteur de recherche à leurs utilisateurs (comme Google). La loi oblige les fabricants ou distributeurs de smartphones à proposer aux consommateurs plus de choix dans les applications. L’objectif est de faire un peu plus de place aux navigateurs web et moteurs de recherche "alternatifs", parfois plus respectueux de la protection des données personnelles de leurs utilisateurs (tel Qwant en France).

La transposition de la directive "police"

La loi du 20 juin 2018 transpose enfin la directive du 27 avril 2016 qui harmonise le régime des traitements à finalité pénale (fichiers de police et de justice comme le fichier national des empreintes génétiques, à l’exclusion des fichiers de renseignement).

Un droit à l’information est en particulier créé pour les personnes fichées en matière pénale. Ces dernières peuvent aussi désormais exercer de façon directe leur droit d’accès auprès du responsable du traitement (sauf exceptions). Elles peuvent ensuite demander la rectification des données les concernant, voire leur effacement.

Les autorités publiques doivent, par ailleurs, respecter un certain nombre d’obligations (production d’une analyse d’impact pour les données sensibles, tenue d’un registre des activités du traitement et d’un journal pour certaines opérations de traitement, désignation d’un délégué à la protection des données, communication de toute violation de données à la CNIL et à la personne concernée, etc.).

De nouvelles règles sur les transferts de données personnelles vers les autorités judiciaires et les forces de l’ordre des pays hors Union européenne sont également posées.

XXX

Pour assurer la bonne application du RGPD, la présidente de la CNIL, Isabelle Falque-Pierrotin, a d’ores et déjà demandé aux pouvoirs publics plus de moyens humains. Ceux-ci seront discutés dans le cadre de la prochaine loi de financesLoi de financesLoi qui détermine, pour un exercice (une année civile), la nature, le montant et l’affectation des ressources et des charges de l’État, ainsi que l’équilibre budgétaire et financier qui en résulte.. La CNIL emploie actuellement 200 personnes, alors que des autorités de protection comparables comptent 500 ou 700 collaborateurs (comme au Royaume-Uni et en Allemagne).

Rechercher