Le projet de loi relatif à la protection des données personnelles a été présenté au Conseil des ministres du 13 décembre 2017 par Mme Nicole Belloubet, garde des sceaux, ministre de la justice.
Le texte modifie la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin de permettre l’application effective du « paquet européen de protection des données » adopté le 27 avril 2016 par le Parlement européen et le Conseil.
Ce « paquet » se compose du règlement général sur la protection des données (RGPD n° 2016/679) qui entrera en vigueur le 25 mai 2018 et de la directive relative à la protection des données à caractère personnel utilisées à des fins répressives (Directive 2016/680) qui doit être transposée au plus tard le 6 mai 2018.
En principe, un règlement issu du droit de l’Union Européenne est directement applicable en droit national dans chacun des États membres.
Néanmoins, le Gouvernement souhaite éviter une transposition excessive des textes européens et permettre un accès simplifié aux règles auxquelles sont soumis les professionnels tout en assurant aux citoyens une protection élevée de leurs données personnelles.
Ainsi, le projet de loi crée un cadre unifié applicable à l’ensemble des entreprises et de leurs sous-traitants dès lors qu’ils offrent des biens et des services à des personnes qui résident sur le territoire de l’Union Européenne.
À cet égard, pour les acteurs économiques, le texte remplace le système de contrôle a priori, qui repose sur les régimes de déclaration et d’autorisation préalables, par un contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques en matière de protection des données. En contrepartie, les pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL) sont renforcés, et les sanctions encourues pourront atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé.
Pour les citoyens, il instaure, de matière notable, un droit à l’information de la personne concernée par les données personnelles traitées en matière pénale ainsi qu’un droit à la portabilité des données personnelles.
Il faut souligner que dans le cadre des marges de manœuvre permises par le règlement européen, la France conserve plusieurs régimes dérogatoires.
Tout d’abord, les formalités préalables seront maintenues pour les données les plus sensibles, telles que les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, les données génétiques, les données utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques ou les données de santé.
Mais également, pour les mineurs de moins de seize ans, le consentement des titulaires de l’autorité parentale sera nécessaire pour le traitement des données personnelles sur les réseaux sociaux.
En outre, saisie par la ministre de la justice, la CNIL a rendu un avis le 30 novembre 2017.
Dans son ensemble, l’autorité administrative indépendante se montre favorable au projet de loi et considère qu’il opère une conciliation entre l’harmonisation des règles de protection des données personnelles au niveau européen qui découle du règlement et le maintien de dérogations nationales justifiées en matière de données sensibles.
Cependant, la CNIL déplore le retard pris dans la préparation du texte et le fait qu’elle n’ait pas été associée en amont à la réflexion. La commission s’inquiète surtout du risque réel de non-respect des délais de mise en œuvre du « paquet européen », le projet de loi et ses décrets d’application devant impérativement entrer en vigueur le 25 mai 2018.
Actuellement, le projet de loi est enregistré à l’Assemblée Nationale en procédure accélérée, le Gouvernement ayant été habilité à légiférer par voie d’ordonnance, mais aucune précision n’a été donnée quant au calendrier.