Que retenir du projet de loi relatif à la protection des données personnelles ?

Par Olivia Tambou, Maître de conférences en droit à l’Université Paris-Dauphine.

Le projet de loi repose sur une articulation normative complexe. Composé de seulement 24 articles, il transforme le droit français de la protection des données en un droit régissant des situations spécifiques. Tel est le sens de la présente analyse.

Le projet de loi relatif à la protection des données personnelles déposé à l’Assemblée nationale [1] permet la réalisation en droit français du paquet de protection des données personnelles adopté en avril 2016 par l’Union européenne.

Ce paquet comporte à la fois le règlement nº 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel dit « Règlement général de la protection des données » (ci-après RGPD) [2] et la directive nº 2016/680 relative aux traitements mis en œuvre à des fins de prévention et détection des infractions pénales, d’enquêtes et de poursuite en la matière ou d’exécution de sanctions pénales (ci-après directive « police ») [3].

Le Gouvernement français a fait le choix d’adopter une seule loi [4] pour ces deux textes à la nature juridique différente et de ne pas abroger la loi fondatrice du 6 janvier 1978.

À ces deux contraintes légistiques s’ajoute une contrainte de temps, la directive « police » devant être transposée au plus tard le 6 mai et le RGPD, le 25 mai 2018. Le Gouvernement a choisi de procéder en deux étapes. Une fois la nouvelle loi adoptée selon une procédure accélérée pour la rendre applicable au 25 mai 2018, il disposera de six mois pour réécrire la loi de 1978 par le biais d’une ordonnance de l’article 38 de la Constitution. Il s’agit « d’améliorer son intelligibilité, de mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel et d’en prévoir l’application à l’outre-mer » [5]. Enfin, l’application de la nouvelle loi nécessite dix décrets d’application ainsi que trois arrêtés [6].

Autrement dit, le projet de loi présenté constitue le premier étage d’un édifice encore en construction de la déclinaison française d’un droit européen de la protection des données personnelles. L’harmonisation européenne de la protection des données personnelles [7] repose en effet sur le maintien de marges de manœuvre importantes pour les états membres y compris dans le cadre du RGPD qui est un règlement incomplet [8].

Cette approche emporte une profonde mutation du droit français de la protection des données personnelles inhérente à la nature de l’harmonisation européenne proposée (I). L’analyse du projet de loi révèle également une profonde mutation du droit français par le principe d’accountability ou de responsabilisation qui se traduit par un renforcement significatif de la régulation de la protection des données personnelles par les responsables de traitement, les sous-traitants et la Cnil (II).

Au-delà de ces mutations, l’étude des spécificités introduites par le projet de loi, notamment la transposition de la directive « police », fera l’objet d’un second article.

I. Les mutations inhérentes à la nature de l’harmonisation européenne proposée.
Le projet de loi repose sur une articulation normative complexe. D’une part, il décline une cinquantaine de marges de manœuvre laissées par le RGPD [9]. D’autre part, il transpose la directive « police ». En outre, il adapte certaines dispositions de la loi de 1978 ayant un champ d’application national pour les mettre en cohérence avec la réforme engagée à l’échelle européenne. Enfin, il tente de régler en amont les risques de conflits horizontaux avec d’autres états membres dans l’exercice de leurs marges de manœuvre (B). Il en résulte un texte dense de seulement 24 articles qui transforme le droit français de la protection des données en un droit régissant des situations spécifiques (A).

A. La transformation du droit français de la protection des données en un droit régissant des situations spécifiques.

Le paquet protection des données personnelles constitue une réforme dont l’ambition est de proposer une approche globale du droit européen de la protection des données personnelles. Cette approche globale traduit en réalité l’éclatement de ce droit entre des dispositions nationales et des dispositions européennes, entre un régime général et des régimes spécifiques liés à certains types de données (données sensibles, données de santé, données d’infractions, etc.) et/ou à certains secteurs d’activités (police, justice, marketing, etc.) voire certaines catégories de responsables de traitement (autorités publiques), et/ou certaines finalités de traitement (statistiques publiques, ou scientifiques, archivage dans l’intérêt du public, journalistiques, ou à des fins d’expression universitaire, artistique ou littéraire, etc.).

Sans entrer ici dans le détail de ces réglementations spécifiques, il faut d’emblée préciser les conséquences inhérentes à cette spécialisation du droit français de la protection des données.

1º Une approche nuisant à la lisibilité de la future loi.

Cette approche à géométrie variable nuit à la lisibilité de la future loi pour trois raisons principales.

Premièrement, le projet de loi comporte de nombreux renvois aux dispositions du RGPD [10]. En effet, la plupart des définitions et des droits ont été harmonisés à l’échelle européenne dans le cadre du RGPD. Ces dispositions ont un effet direct et ne peuvent donc pas être recopiées dans leur globalité dans la loi [11].

Le Conseil d’état a conseillé de remédier provisoirement à cette première difficulté en intégrant dans la publication numérique du JORF des liens hypertextes vers les dispositions du RGPD citées [12].
Il est néanmoins difficile de considérer que la future réécriture de la loi de 1978 par ordonnance puisse pleinement améliorer l’intelligibilité de la loi. À titre d’illustration, le projet de loi actuel prévoit que l’application de règles relatives à la désignation du délégué à la protection des données personnelles (DPO) ainsi qu’à l’obligation de tenir un registre pour le traitement dans l’ordre juridique français relève uniquement de l’abrogation de certaines dispositions de la loi de 1978. L’âge limite requis à partir duquel un mineur peut consentir à une offre directe de services de la société de l’information incluant les réseaux sociaux (16 ans) est uniquement déterminé par le RGPD et non dans le droit national. Ces solutions ont été explicitement justifiées dans l’exposé des motifs par la nécessité de respecter l’effet direct des dispositions du RGPD.

L’œuvre légistique future du Gouvernement sera en conséquence très contrainte, sauf à enfreindre le droit de l’Union européenne. À cet égard, le considérant 8 du RGPD rappelle que, lors de l’écriture de leurs marges de manœuvre, les états membres peuvent uniquement « intégrer des éléments du présent règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent » [13]. Cela signifie clairement que la plupart des dispositions du RGPD ne pourront pas être intégrées dans la loi finale.

En réalité, seule une version consolidée intégrant à la nouvelle loi l’ensemble des dispositions du RGPD pertinentes pourrait la rendre intelligible. Il s’agirait alors d’une simple version éditoriale n’ayant pas force de loi, mais destinée à faciliter la compréhension de la réforme en intégrant sa déclinaison française. On peut regretter cette complexification du droit européen de la protection des données qui ne facilitera pas son accessibilité et son appropriation par les acteurs. Une telle complexité rend plus que jamais indispensable le développement d’une véritable éducation citoyenne à la protection des données personnelles.

Deuxièmement, certaines marges de manœuvre laissées aux états membres leur permettent d’adopter des dérogations, des limitations à certains droits. Elles ne visent pas seulement à améliorer les garanties prévues par le RGPD. Il devient alors difficile d’évaluer la cohérence d’ensemble entre l’affirmation d’un principe à l’échelle de l’Union européenne et la multiplication des exceptions par le droit national. L’adaptation nationale de l’article 22 du RGPD relatif aux décisions individuelles automatisées y compris le profilage est à cet égard emblématique. Comme la Cnil l’a justement souligné, la formulation française continue de reposer sur une interdiction de principe de tels traitements automatisés alors que le règlement évoque un droit individuel à ne pas faire l’objet d’une décision fondée sur un traitement intégralement automatisé [14].

Mais surtout l’article 14 du projet de loi [15] crée une base juridique nouvelle pour la généralisation des décisions administratives individuelles automatisées.

En contrepartie, trois garanties sont apportées. L’individu obtient un droit d’information élargi. Le responsable de traitement doit s’assurer de la maîtrise du traitement algorithmique et de ses évolutions. Enfin, de telles décisions automatisées ne doivent pas porter sur le traitement de données sensibles. L’étude d’impact considère à juste titre que l’important est « de garantir une intervention humaine ab initio dans l’édiction des règles et dans leur implémentation par l’algorithme (…) et a posteriori pour réformer les décisions dans certaines situations particulières » [16].

L’objectif affiché est de moderniser l’Administration. L’accent est mis sur les gains de performance, d’efficacité des décisions algorithmiques. La transparence des processus permettrait l’explicabilité des décisions prises. La formulation de l’article 14 du projet de loi laisse néanmoins rêveur quant à l’étendue réelle du droit à ne pas faire l’objet d’une décision administrative individuelle fondée sur un traitement intégralement automatisé.

Troisièmement, la lisibilité du projet de loi est rendue complexe parce qu’il crée des règles nationales de nature juridique différente : normes strictement nationales et normes entrant dans le champ du droit de l’Union européenne. Cette approche augure de futurs contentieux avec le droit de l’Union européenne.

2º Une approche source inévitable de futurs contentieux avec le droit de l’UE.

L’approche choisie par l’harmonisation européenne impliquera nécessairement des difficultés allant au-delà de l’interprétation des dispositions relatives aux droits des personnes concernées et obligations des responsables de traitement voire des sous-traitants contenus dans le paquet protection des données personnelles.
Il s’agira de déterminer ce qui ressort de la compétence de l’Union européenne et jusqu’où les états membres peuvent aller dans l’exercice de leurs marges de manœuvre. Jusqu’à présent la directive nº 95/46 avait fait l’objet d’un contentieux limité devant la CJUE à une trentaine d’affaires. Il est néanmoins plausible que, paradoxalement, la réforme du droit européen de la protection des données personnelles conduise au développement du contentieux tant devant les juges nationaux [17], que devant la CJUE. En outre, les risques de conflits horizontaux entre les droits des états membres ne sont pas complètement éliminés.

B. La tentative d’ordonner l’articulation du droit français avec les droits des autres États membres.

L’article 8 du projet de loi cherche à clarifier la loi applicable en cas de contrariété entre les choix opérés par les états membres pour concrétiser le RGPD. Le critère retenu a été celui du lieu de la résidence de la personne concernée [18]. Il a été jugé plus protecteur des personnes physiques. Il s’agit par exemple d’éviter que les résidents français se voient appliquer le droit d’un autre état membre pour l’utilisation de services tels que Google ou Facebook dont le siège européen est en Irlande.

La Cnil a fait remarquer avec raison que le choix de ce critère visant à l’application du droit français à des responsables de traitement non établi en France ne manquera pas de soulever des « difficultés opérationnelles » avec les pays qui choisiront une autre approche [19].
La détermination de l’âge à partir duquel un mineur peut utiliser sans l’autorisation parentale des réseaux sociaux opérant le traitement de ses données personnelles pourrait fournir une illustration d’une telle difficulté. En effet, suivant les évolutions sociétales et la loi américaine dite « COPPA », une majorité d’états membres s’oriente vers une limite d’âge de 13 ans, alors que la France a choisi l’âge de 16 ans. Il conviendra d’être vigilant sur les modalités pratiques mises en œuvre par les acteurs pour permettre le respect effectif de ce seuil des 16 ans en France. Cet exemple illustre également l’importante mutation du droit européen de la protection des données qui devient un droit de plus en plus régulé notamment à travers la consécration du principe de responsabilisation des acteurs.

II. Les mutations inhérentes à la consécration de la responsabilisation des acteurs.
La présence d’une autorité nationale de protection constitue depuis l’origine une des caractéristiques du droit européen de la protection des données [20].

La consécration du principe de la responsabilisation des acteurs dans la réforme actuelle accompagne une importante harmonisation des pouvoirs et des compétences de ces autorités. Il s’agit de leur donner les moyens d’accompagner et de contrôler le respect des obligations de conformité des responsables de traitement et des sous-traitants. Ainsi, les pouvoirs de régulation de la Cnil ont été renforcés (A) parallèlement à la limitation des formalités préalables existantes dans la loi de 1978 (B).

A. Le renforcement des pouvoirs de régulation de la Cnil.  [21]

Premièrement, la Cnil acquiert de nouveaux pouvoirs afin d’accompagner les acteurs vers la conformité au nouveau droit de la protection des données personnelles [22].

D’une part, elle obtient de nouvelles missions en matière de certification des personnes, des produits et des systèmes de données ou de procédures. Elle pourra au choix, et selon les cas, certifier elle-même ou confier cette mission à des organismes certificateurs qu’elle aura préalablement agréés sur la base de critères de référentiels de certification et d’agrément. L’insertion de la Cnil dans le marché de la certification ne manquera pas de soulever des interrogations quant à sa capacité d’assumer un tel rôle du point de vue technique. Mais surtout, une telle mission emporte le risque de la transformer en juge et partie ce qui pourrait porter atteinte à la crédibilité de ses autres fonctions de régulation [23]. D’autre part, le développement d’un droit souple de la Cnil est encouragé afin d’offrir un cadre juridique sécurisé dans un environnement en perpétuelle mutation. La Cnil doit notamment établir la liste des traitements devant faire l’objet d’une analyse d’impact préalable par les responsables de traitement notamment en raison des risques élevés qu’ils comportent pour les droits et libertés des personnes concernées. La Cnil se voit également officiellement investie du pouvoir d’adopter des lignes directrices, des recommandations, des référentiels, des codes de bonne conduite, et des règlements types en vue d’assurer la sécurité des systèmes de traitement [24]. Elle peut également prescrire des mesures techniques et organisationnelles pour le traitement des données biométriques, génétiques et de santé, ou pour les données d’infractions.

Deuxièmement, les pouvoirs de contrôle de la Cnil sont améliorés. D’une part, ses agents obtiennent un droit de contrôle sur place généralisé à l’ensemble des locaux servant à la mise en œuvre d’un traitement des données personnelles [25]). L’objectif est de pouvoir inclure des contrôles non seulement dans les locaux professionnels, mais aussi sur des matériels installés dans des couloirs et autres espaces communs. Seul le secret professionnel applicable aux relations entre un avocat et son client, le secret des sources des traitements journalistiques et sous certaines conditions le secret médical sont opposables à de tels contrôles.

D’autre part, le projet de loi augmente l’effectivité des contrôles en ligne des agents de la Cnil introduits en 2014, en les autorisant à utiliser une identité d’emprunt. Ils pourront désormais utiliser cette possibilité sans craindre le risque de contestations fondées sur la violation du principe de loyauté dans la collecte des preuves. Les pouvoirs des agents de la Cnil sont ainsi alignés sur ceux de l’AMF [26]. Un décret pris en Conseil d’état et après avis de la Cnil doit préciser les conditions d’utilisation de cette identité d’emprunt.

Enfin, le projet de loi prévoit la participation d’agents des homologues européens de la Cnil à des opérations conjointes sur le territoire français et inversement la participation d’agents de la Cnil à des enquêtes dans un autre état membre [27].

Dans le premier cas, les contrôles sont exercés sous l’autorité de la Cnil afin de préserver la souveraineté territoriale française. Les agents habilités devront présenter des garanties comparables aux agents de la Cnil et ne pourront disposer de pouvoirs plus étendus que ceux dont disposent ses agents. Il s’agit clairement de dépasser la simple présence passive des agents ou membres d’autres autorités nationales de protection. Il appartiendra au président de doter ces agents de pouvoirs à géométrie variable en fonction des besoins de l’affaire. Le choix de confier cette tâche au président plutôt qu’aux autres organes collégiaux de la Cnil a été justifié par la nécessité de pouvoir prendre rapidement une décision pour engager de telles opérations. L’objectif est de poser les bases d’une confiance mutuelle entre les autorités nationales de protection des données afin de renforcer l’efficacité des contrôles. Le projet de loi détaille ensuite l’interaction entre la Commission et les autres autorités lorsqu’elle est autorité chef de file dans le cadre du mécanisme du guichet unique. Sont prévues : la communication du rapport, de toutes informations utiles, la possibilité pour les autorités d’autres états membres d’assister à l’audition par la formation restreinte du responsable de traitement ou du sous-traitant, la prise en compte des objections pertinentes et motivées des autres autorités nationales concernées, la saisine du Comité européen de la protection des données si la Cnil décide de s’écarter de ses objections.

Les conditions d’application de cette coordination et notamment les garanties procédurales à apporter au regard du principe du contradictoire à l’égard de l’organisme concerné doivent faire l’objet d’un décret en Conseil d’état, après avis de la Cnil. Lorsqu’elle est l’autorité concernée dans le cadre du mécanisme de cohérence, le projet de loi attribue à son président une fonction d’aiguillage pour établir les réponses à donner à l’autorité chef de file. Selon la répartition interne des compétences au sein de la Cnil, de telles décisions relèvent en fonction de leur objet, soit du président [28], soit de la formation restreinte [29]. Ainsi l’exercice des nouveaux pouvoirs de contrôle de la Cnil s’accompagne d’une forme de présidentialisation de cette structure.

Troisièmement, les pouvoirs de sanction de la Commission ont été renforcés [30].
Le montant des amendes administratives a été sensiblement augmenté pour être plafonné à 10 millions d’euros ou s’agissant d’une entreprise à 2 % du chiffre d’affaires annuel mondial en cas de manquement au droit national.

Les amendes pour certains manquements peuvent être plafonnées à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, en cas de violation d’obligations découlant du droit européen. En outre, le projet de loi introduit la possibilité pour la Cnil d’assortir d’une astreinte l’injonction à un responsable de traitement de se mettre en conformité avec la loi ou le RGPD ou de satisfaire aux demandes présentées par la personne concernée afin d’exercer ses droits (accès, opposition, rectification). Cette astreinte ne peut excéder 100 000 € par jour et ne concerne pas les traitements mis en œuvre par l’état. Ces montants sont donc dissuasifs et incitent les acteurs à prendre désormais au sérieux leur conformité aux règles de la protection des données.

Enfin, la Cnil obtient deux nouveaux pouvoirs juridictionnels. Le premier adapte le droit français aux exigences posées par l’affaire Schrems [31]. Elle pourra saisir le Conseil d’état en cas de réclamation contre un responsable de traitement mettant en cause la validité d’une décision d’adéquation couvrant les transferts de données vers un pays tiers. Il s’agit de demander au Conseil d’état d’ordonner la suspension ou la cessation du transfert des données en cause. Ce recours doit aussi permettre au Conseil d’état de saisir le cas échéant la CJUE afin qu’elle apprécie la validité de la décision d’adéquation. Le second permet à la Cnil de présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du RGPD et de la future loi sur la protection des données personnelles.

B. La limitation des formalités préalables des traitements. [32]

D’une part, l’obligation actuelle de déclaration préalable des traitements est supprimée.
D’autre part, dans le champ d’application du RGPD, le projet de loi limite les autorisations préalables de traitement à deux types de données : les données génétiques et biométriques lorsque leurs traitements sont mis en œuvre par l’état agissant dans l’exercice de ses prérogatives de puissance publique. Dans ces cas, l’autorisation nécessaire prend la forme d’un décret en Conseil d’état pris après avis de la Cnil.

Enfin, une formalité préalable a été maintenue pour les traitements mettant en œuvre le numéro d’inscription au répertoire (NIR) par des personnes publiques ou privées [33]. Ce décret doit déterminer les catégories de responsables de traitement ainsi que les finalités autorisées pour ce type de traitement.

Toutefois, les traitements à finalités de statistiques publiques, de recherche scientifique ou historique, de téléservices ne seront pas soumis à ce futur décret, dès lors que le NIR sera substitué par un code statistique non signifiant par le biais d’une opération cryptographique.

CONCLUSION.
À l’issue de ces développements, il est possible de regretter qu’à l’heure où le Conseil d’état rappelle l’importance de la simplification et de la qualité du droit [34], une réforme d’envergure telle que celle de la protection des données personnelles échappe largement à cet objectif pieux.

Il reste alors à savoir si la seconde mutation de ce droit européen de la protection des données personnelles en un droit plus en plus régulé permettra non seulement d’éviter le développement d’un contentieux important et de favoriser une protection effective des individus. Les attentes sont immenses.

La nécessité d’inculquer une véritable culture de la protection des données personnelles passe par la création de nouveaux métiers mêlant des compétences transversales. Il y a là un challenge pour la création de nouvelles formations. C’est l’objet d’un futur du RGPD associant juristes, informaticiens et managers que l’université Paris-Dauphine s’apprête à ouvrir fin mars 2018.

 

Retrouvez cet article dans la Revue Lamy Droit de l’immatériel, chez Wolters Kluwer de janvier 2018 et suivez chaque mois toute l’actualité du secteur !

Pour une approche à la fois opérationnelle et complète, découvrez également le Lamy Droit du Numérique, chez Wolters Kluwer, l’ouvrage de référence en la matière !

 

 

Notes :

[1Projet de loi nº 490 relatif à la protection des données personnelles, enregistré le 13 décembre 2017.

[2Règlement nº 2016/679, 27 avr. 2016, JOUE nº L 199, p. 1.

[3Directive nº 2016/680, 27 avr. 2016, JOUE nº L 119, p. 89.

[4Ce choix a été partagé par d’autres états membres tels que l’Allemagne, l’Autriche, la Belgique, la Bulgarie, la République tchèque, la Grèce, l’Irlande, le Royaume-Uni, la Slovénie, la Slovaquie. D’autres états membres ont en revanche fait le choix de proposer plusieurs lois : une pour l’adaptation du RGPD, une pour la transposition de la directive « police », comme Chypre, l’Espagne, le Danemark, la Finlande, la Hongrie, l’Italie, la Lituanie, le Luxembourg, Malte, les Pays-Bas, la Suède, voire une spécifique pour l’autorité de protection des données personnelles, par exemple la Roumanie. Si, pour la plupart, les textes sont encore en discussion dans les états membres, l’Allemagne et l’Autriche ont été les premiers états membres à adopter leur législation fédérale respectivement en juin et en juillet 2017. Pour avoir un aperçu de l’état des réflexions des états membres, voir Transposition of the Directive (EU), 2016/680, State of play in the Member States, 2 october 2017, Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680 (E03461) accessible sur <http://ec.europa.eu/transparency/re…> .

[5Voir l’exposé des motifs du projet loi de déposé à l’Assemblée nationale, p. 18 et l’article 20 du projet de loi.

[6Voir étude d’impact, p. 16-17 ; la plupart des décrets sont des décrets du ministère de la Justice, voire du ministère des Solidarités et de la Santé, un décret relèvera du ministère des Armées.

[7Pour une analyse approfondie de la nature de l’harmonisation proposée, voir notre article, Les enseignements de la réforme de la protection des données personnelles au regard du concept d’harmonisation, in Harmonisation et Union européenne, à paraître à la Revue de droit de l’UE.

[8Sur ce concept de règlement de l’Union européenne incomplet, voir Masclet J.-C., Le règlement in Répertoire de droit européen, D., spéc. pts 103 et s.

[9Une liste des renvois au droit national prévus par le RGPD a été dressée par le SGAE et mise en annexe du rapport de l’Assemblée nationale nº 4544, « Sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française », présenté par Mme Le Dain A.-Y. et M. Gosselin P., févr. 2017.

[10Le projet de loi fait 54 références au RGPD dont 10 dans le titre relatif à la transposition de la directive « police ».

[11Il s’agit d’une jurisprudence constante de la CJUE selon laquelle l’adoption de mesures nationales visant à recopier des dispositions d’un règlement ayant effet direct constitue un manquement au droit de l’Union européenne. Voir CJCE, 7 févr. 1973, aff. C-39/72, Commission c/ Italie, ECLI:EU:C:1973:13.

[12Voir pt 9 de l’avis du Conseil d’état du 7 décembre 2017.

[13Ce considérant s’inspire en réalité des mots de l’affaire CJCE, 28 mars 1985, aff. C-272/83, Commission c/ Italie, ECLI:EU:C:1985:147, voir pt 27.

[14Voir la délibération nº 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d’adaptation au droit de l’Union européenne de la loi nº 87-17 du 6 janvier 1978, p. 27 et s.

[15« Outre les cas mentionnés aux a et c sous le 2 de l’article 22 du règlement 2016/679, aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à prévoir ou à évaluer certains aspects personnels relatifs à la personne concernée, à l’exception des décisions administratives individuelles prises dans le respect de l’article L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du Code des relations du public et de l’administration, à condition que le traitement ne porte pas sur des données mentionnées au I de l’article 8. » Version consolidée par l’auteur avec les modifications en romain.

[16Voir étude d’impact, projet de loi relatif à la protection des données personnelles, 12 déc. 2017, p. 130.

[17Le développement des possibilités d’action de groupe en matière de cessation de violation au droit de la protection des données personnelles conforte ce jugement même si le projet de loi ne va pas jusqu’à introduire en droit français une possibilité d’action de groupe de réparation du préjudice subi. Voir article 16 du projet de loi.

[18Une exception a néanmoins été prévue pour les traitements réalisés à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire pour lesquels le critère de l’établissement en France s’appliquera.

[19Voir avis, précité, p. 15. Plusieurs états membres ont déjà annoncé leur volonté de procéder à l’application d’un critère mixte (critère d’établissement, critère de résidence.

[20Voir notre article, L’émergence d’un modèle européen d’interrégulation en matière de protection des données personnelles, in Liber Amicorum – Hommage en l’honneur du professeur Joël Moneger, LexisNexis, mai 2017, p. 381-394, accessible sur <https://hal.archives-ouvertes.fr/ha…> .

[21Le projet apporte aussi trois autres types de modifications relatives à la Cnil. Premièrement, de nouvelles règles de fonctionnement ont été ajoutées pour donner des garanties supplémentaires d’impartialité et d’indépendance. D’une part, les délibérations de la Cnil auront désormais lieu hors de la présence des agents de la Cnil. D’autre part, la présence du commissaire du Gouvernement qui représente le Gouvernement auprès de la Cnil est modifiée afin de répondre aux exigences de la jurisprudence constitutionnelle. La présence du commissaire au Gouvernement au sein de la formation restreinte de la Cnil, qui prononce des injonctions ou impose des sanctions, est désormais facultative. En outre, il ne peut plus participer au délibéré de la formation restreinte. Le projet de loi modifie aussi les règles relatives à la composition de la Cnil. Deuxièmement, le projet de loi élargit le champ de compétences des deux membres désignés par les présidents des chambres. Il pourra désormais s’agir de personnalités qualifiées pour leur connaissance du numérique ou sur toutes questions touchant aux libertés individuelles à l’instar des trois personnalités nommées par décret. Il s’agit de mieux prendre en compte les termes de l’article 53 du RGPD qui rappelle que les membres des autorités de surveillance doivent avoir les compétences nécessaires dans le domaine de la protection des données personnelles et de reconnaître ainsi qu’il s’agit d’une matière touchant aux libertés individuelles. Troisièmement, la Cnil obtient la possibilité d’être consultée par les présidents des chambres parlementaires de toute proposition de loi relative à la protection des données personnelles ou au traitement de telles données.

[22Voir article 1 du projet de loi.

[23Sur les enjeux de la certification en matière de protection des données personnelles, voir notre article, L’introduction de la certification dans le règlement général de la protection des données personnelles : quelle valeur ajoutée ? RLDI 2016/125, nº 3969, p. 43-48.

[24La Cnil émet des regrets sur le caractère trop limité de cette possibilité qu’elle aurait étendue au-delà du domaine de la sécurité des systèmes. Avis p. 7.

[25Voir article 4 du projet de loi.

[26C. mon. fin., art. L. 621-10-1.

[27Voir article 5 du projet de loi.

[28Avertissement (qui n’est pas une sanction), mise en demeure.

[29Il s’agit principalement des : rappel à l’ordre, injonction de mise en conformité, retrait de certification, suspension de flux de données vers un pays tiers, retrait d’une règle d’entreprise contraignante, amendes administratives.

[30Voir article 6 du projet de loi. Notons que la possibilité de publicité de la sanction est maintenue. Elle constitue une sanction complémentaire non explicitement prévue par le RGPD, mais relevant de la marge de manœuvre des états membres.

[31CJUE, 6 oct. 2015, aff. C-362/14, Schrems vs Data Protection Commissioner, ECLI:EU:C:2015:650.

[32Voir article 9 du projet de loi.

[33Le NIR est un numéro comportant 13 caractères permettant de déterminer le sexe, l’année, et le mois de naissance, et le cas échéant le département et la commune de naissance. Ce numéro unique et pérenne est utilisé dans de nombreux fichiers sociaux, fiscaux et des traitements des organismes de sécurité sociale, ainsi que par des acteurs privés pour la gestion de la paie, des déclarations sociales, des déclarations d’embauche.

[34Voir étude annuelle 2016 du Conseil d’état, Simplification et qualité du droit, Doc. fr., 2016.

Vous connecter avec vos identifiants

Vous avez oublié vos informations ?