Nous l'avions remarqué en son temps (notre actualité du 31 mars 2017), la Cnil avait alerté sur la nécessité de prendre au plus vite — et en tout état de cause avant le 24 mai 2018 — une loi permettant de mettre en conformité la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au futur RGPD (Règlement général pour la protection des données). Cette loi de 1978 avait déjà été modifiée de fond en comble, plutôt réécrite même en 2004 pour prendre en compte la directive sur la protection des données à caractère personnel de 1995.
On peut s'étonner qu'il faille une loi alors qu'un règlement européen s'insère directement dans l'ordre juridique de chaque État membre de l'Union. C'est oublier un peu vite qu'il faut éviter la contradiction de textes, mais aussi que c'est non seulement le RGPD qui doit entrer en vigueur, mais aussi les deux autres textes du "paquet données personnelles" de l'Union européenne, à savoir la directive dite "Police Justice" sur les données policières et judiciaires et leurs échanges entre États membres de l'Union, et la directive dite PNR (Passenger Name Record) sur l'échange de données sur les passagers.
Le conseil des ministres du 13 décembre a donc adopté le "Projet de loi relatif à la protection des données personnelles", immédiatement déposé à l'Assemblée nationale.
Selon le communiqué officiel du Conseil des ministres, "Ce projet de loi adapte au droit de l’Union européenne la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Il transpose le nouveau cadre juridique européen (le règlement 2016/679 et la directive 2016/680) qui entrera en vigueur en mai 2018." Il n'est donc pas ici question de la directive PNR.
Quelques grands axes du projet de loi
Des détails du dispositif à venir sont donnés dans ce communiqué.
D'une part, quelques informations concernent l'adaptation au RGPD et à la directive Police Justice :
"Le règlement crée un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne."
"S’agissant des traitements de données à caractère personnel en matière pénale, le projet de loi renforce les droits des personnes en créant un droit à l’information et en prévoyant l’exercice direct de certains droits tels que les droits d’accès, de rectification et d’effacement des données. Il introduit également des règles encadrant les transferts de données à des États tiers."
D'autre part, d'autres éléments nous informent sur le choix du Gouvernement français dans le cadre de la marge de manœuvre qui lui est laissé par le RGPD et la Directive Police Justice.
S'agissant de l'abandon ou pas des obligations déclaratives à la Cnil, le Gouvernement, conformément au RGPD, "remplace ainsi le système de contrôle a priori, basé sur les régimes de déclaration et d’autorisation préalables, par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques que présente ce dernier."
Mais il a "toutefois fait le choix de maintenir certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, pour les données génétiques, ou encore pour les traitements utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques."
Une codification annoncée
Pour finir, le communiqué précise : "Les modifications apportées à notre droit par ce projet de loi seront codifiées, par voie d’ordonnance, dans la loi fondatrice de 1978 afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique."
Il faut donc comprendre que la vénérable loi de 1978 deviendra une sorte de code des données personnelles, un peu comme la loi du 29 juillet 1881 sur la liberté de la presse constitue aujourd'hui un code de la liberté de la presse.
En savoir plus
Lire l'annonce du projet de loi dans le communiqué du Conseil des ministres du 13 décembre sur le site du Gouvernent :
http://www.gouvernement.fr/conseil-des-ministres/2017-12-13/protection-des-donnees-personnelles
Voir le dossier législatif ouvert sur Légifrance contenant le projet de loi :
https://www.legifrance.gouv.fr/affichLoiPreparation.do?idDocument=JORFDOLE000036195293&type=general&typeLoi=proj&legislature=15
Et celui ouvert sur le site de l'Assemblée nationale :
http://www.assemblee-nationale.fr/15/dossiers/donnees_personnelles_protection.asp
Nous reviendrons bien entendu sur certains éléments de ce projet de loi.
