Le projet de loi déposé à l’Assemblée Nationale le 13 décembre 2017 relatif à la protection des données personnelles, a pour objet principal d’intégrer dans la législation française le « paquet européen de protection des données » qui a été adopté par le Parlement européen et le Conseil le 27 avril 2016, c’est-à-dire deux textes.
– le RGPD , le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données. Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l’Union européenne et offrant des biens et services aux Européens. Ce règlement est applicable à compter du 25 mai 2018 ;
– la directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Cette directive doit être transposée d’ici le 6 mai 2018.
La protection des données personnelles : un droit fondamental
Au préalable, ce projet de loi rappelle un acquis essentiel à la protection des données personnelles : « La protection des données à caractère personnel constitue l’une des dimensions du droit au respect de la vie privée ; elle est désormais consacrée comme un droit fondamental à part entière dans la Charte des droits fondamentaux de l’Union européenne (article 8) ». S’ajoute par conséquent aux deux textes précités, la Charte des droits fondamentaux que doit également intégrer en droit national ce projet de loi.
Rappelant l’importance que les français attachent à la protection de leurs données personnelles, ce projet rappelle que « seul le cadre européen permet d’y répondre même si la France a pu dès 1978 légiférer en la matière ».
La création de nouveaux droits effectifs et un nouveau paradigme
Deux axes de réforme sont soulignés .
La création de nouveaux droits en faveur des personnes physiques .
Le règlement conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi du 6 janvier 1978 (notamment le droit d’information des personnes), et en crée de nouveaux comme le droit à l’effacement ou « droit à l’oubli » et le droit à la portabilité des données.
Un changement de paradigme : la déclaration préalable transformée en une mise en conformité permanente.
« le passage d’un système de contrôle a priori de la CNIL, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques.
En contrepartie, la CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné.
Un tel changement de paradigme nécessite une évolution des missions et pouvoirs de l’ensemble des autorités de protection des données de l’Union européenne et ainsi de la CNIL. »
Quant à la directive, elle s’inscrit comme une exception au règlement, celle relative aux données personnelles en matière pénale mise en œuvre par une autorité compétente
« La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour des finalités qui ne sont pas pénales ou par une autorité qui n’est pas compétente ».
La présentation du projet de loi faite par Madame Nicole BELLOUBET, Garde des Sceaux, Ministre de la Justice indique trois orientations.
1°) Le gouvernement ne souhaite pas intervenir sur tous les points ( il y a une cinquantaine) sur lesquels le règlement laisse un pouvoir d’intervention aux Etats
Le règlement étant directement applicable, le projet de loi ne peut recopier ses dispositions. Il en est ainsi des dispositions relatives au délégué à la protection des données. Toutefois, le règlement prévoit plus d’une cinquantaine de marges de manœuvre qui permettent aux États membres de préciser certaines dispositions ou de prévoir plus de garanties que ce que prévoit le droit européen. Certaines marges de manœuvre permettent de maintenir des dispositions déjà existantes dans notre droit national. D’autres, en revanche, peuvent être mises en œuvre afin notamment de prendre en compte l’évolution technologique et sociétale. À cet égard, l’article 8 du règlement fixe à 16 ans l’âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l’information, tout en laissant aux États membres la possibilité d’abaisser cet âge du consentement jusqu’à 13 ans. Le Gouvernement ayant fait le choix de ne pas faire usage de cette marge de manœuvre, le projet de loi ne contient aucune disposition sur l’âge du consentement, le seuil de 16 ans fixé par le règlement s’appliquant.
2°) S’agissant du traitement des données personnelles pénales par des autorités compétentes, il s’agit de distinguer i) ce qui appartient au droit de l’Union des prérogatives conservées par les Etats, ii) ce qui est du domaine du règlement, ou de la directive, et partant, pour enfin déterminer iii) les objectifs fixés par la directive.
La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour des finalités qui ne sont pas pénales ou par une autorité qui n’est pas compétente
La directive n’est pas non plus applicable aux traitements intéressant la sûreté de l’État et la défense, qui ne relèvent pas du droit de l’Union européenne.
L’articulation entre la directive et le règlement est précisée par le considérant 12 de la directive. Celui-ci indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d’autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non ». Il précise que « ces activités peuvent également comprendre l’exercice de l’autorité par l’adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d’émeutes », et que « parmi ces activités figure également le maintien de l’ordre public lorsque cette mission est confiée à la police ou à d’autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ». Il indique en revanche, qu’entrent dans le champ d’application du règlement, pour autant qu’ils relèvent du droit de l’Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d’autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».
Les principales innovations de la directive consistent en la création :
– d’un droit à l’information de la personne concernée par les données personnelles traitées ;
– d’un droit d’accès, de rectification et d’effacement s’exerçant par principe de manière directe, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.
Elle précise également les conditions applicables aux transferts de données à caractère personnel vers les autres États membres, vers les États tiers et vers des entités privées au sein d’États tiers en instaurant un mécanisme à plusieurs niveaux en fonction du degré d’ « adéquation » du niveau de protection des données. Elle prévoit enfin que tous les accords incompatibles avec les règles de protection des données doivent être renégociés ou complétés par des protocoles pour assurer la protection des données à caractère personnel.
3°) la conservation de la loi de 1978
le Gouvernement a fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978. Certes, l’adaptation du droit national au règlement et la transposition de la directive exigent de remanier plusieurs articles de cette loi, mais les principes fondateurs dégagés par le législateur il y a près de quarante ans demeurent toujours valables.