27Mai

Focus – La loi relative à la protection des données personnelles

Le 25 mai 2018, l’Assemblée nationale a adopté en première lecture, par 505 voix contre 18, le projet de loi sur la protection des données personnelles, un texte d’application du droit européen, qui fixe notamment la « majorité numérique » à 15 ans.Les évolutions technologiques et l’augmentation exponentielle des échanges des données entre les entreprises en France et au niveau mondial ont créé de nouveaux enjeux pour la  protection des données personnelles. Il est important d’assurer la continuité des échanges de données tout en garantissant un niveau élevé de protection pour les citoyens. C’est  l’ambition du « paquet européen de protection des données », adopté par le Parlement  européen et le Conseil le 27 avril 2016, que la loi a transposé et qui est composé :

– du règlement (UE) 2016/679 général sur la protection des données (RGPD), relatif à la  protection des personnes physiques à l’égard des données à caractère personnel ;

– de la directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention  et de détection des infractions pénales, d’enquête et de poursuites en la matière ou  d’exécution de sanctions pénales.

Le renforcement des droits des citoyens (droit à informations, droits d’accès, droit de  rectification et d’effacement des données) s’accompagne d’un bouleversement des  principes s’imposant aux acteurs traitant des données personnelles, à travers le passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.

La réduction des formalités préalables a pour contrepartie le renforcement des pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL) qui pourra notamment prononcer des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaire annuel mondial consolidé.

Les principales mesures et bilan

Bilan de l’examen en lecture définitive à l’Assemblée nationale :

308 amendements ont été adoptés à l’Assemblée nationale au cours de la navette parlementaire, proposés par divers groupes politiques :

• 16 du Groupe La République en Marche ;

• 258 de la rapporteure ;

• 2 du MODEM ;

• 12 issus Les principales mesures :

• 18 du Gouvernement.

Le PJL a été adopté. Tous les groupes ont voté pour le texte, excepté le groupe France insoumise qui a voté contre et le groupe Gauche démocrate et républicaine qui s’est abstenu

Les principales mesures :

• Renforcement des missions de la CNIL (article 1er) qui pourra notamment publier des lignes directrices afin d’accompagner au mieux les acteurs responsables des traitements des données.

• Possibilité pour les commissions permanentes de l’Assemblée nationale et du Sénat, ainsi que pour présidents de groupes parlementaires, de saisir la CNIL sur toute proposition de loi relative à la protection des données personnelles (article 1 – amendement de la rapporteure à l’Assemblée nationale).

• Renforcement des moyens d’investigations et de contrôle des agents de la CNIL (article 5) : pouvoir de visite de locaux professionnels encadré, doit à la communication de documents, etc.

• Graduation et renforcement des mesures que peut prendre la CNIL en cas de méconnaissance des obligations définies par la loi ou le règlement (article 7) : avertissement / mise en demeure pour rectifier ou effacer des données / sanctions.

• Principe d’interdiction de traitement de données dites sensibles (article 8) en élargissant son champ aux données génétiques, biométriques et à celles relatives à l’orientation sexuelle d’une personne (l’article 8 de la loi du 6 janvier 1978 prévoit actuellement que sont des données sensibles : l’origine raciale, l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale).

• Suppression du régime de déclaration préalable des traitements de données à caractère personnel (article 11).

• Encadrement du traitement de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté (article 13). • Encadrement du traitement des données de santé justifié par une finalité d’intérêt public (article 16) : des référentiels, des règlements types et des méthodologies de référence seront établis par la CNIL, en concertation avec l’Institut national des données de santé.

• Protection des plus jeunes : fixation à 15 ans de l’âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles (article 20 – amendement de la rapporteure à l’Assemblée nationale) ; sensibilisation du corps enseignant et des élèves aux problématiques liées à la protection des données personnelles (article 17 – trois amendements identiques de la rapporteure à l’Assemblée naTionale et des groupes LaREM et Modem).

• Possibilité d’exercer une action de groupe dans le domaine de la protection des données personnelles aux fins de réparation d’un dommage (article 25 – amendement de la rapporteure à l’Assemblée nationale) ;

Zoom sur l’impact des nouvelles normes sur les entreprises et les actions menées en faveur des TPE – PME

Les nouvelles règles imposées par « le paquet européen de la protection des données » auront un impact positif sur les entreprises (1). En contrepartie, elles seront soumises à de nouvelles obligations (2), dont le non-respect pourra être lourdement sanctionné (3). Compte tenu des nouvelles règles applicables, la situation des très petites entreprises et des petites et moyennes entreprises a été prise en considération (4).

1) Des impacts économiques positifs attendus pour les entreprises : attractivité et avantage concurrentiel.

Comme le souligne le rapport de Paula FORTEZA, les impacts économiques du cadre juridique qui découle du paquet européen de la protection des données sont multiples. Si la nécessaire mise en conformité aura un coût pour les entreprises, pour l’État et les collectivités territoriales, le rapport précité souligne néanmoins que les nouvelles règles imposées aux entreprises sont loin d’être une entrave à l’activité économique.

En effet, il est important de souligner que ces nouvelles normes vont entrainer :

• Un allégement des démarches administratives et une réduction des délais de mise en œuvre pour les entreprises ;

• Une réduction des charges administratives, comme la suppression des notifications préalables, formalité qui représente, selon la Commission européenne, un coût de 130 millions d’euros par an pour les entreprises ;

• Une clarification du droit applicable pour les entreprises grâce à l’homogénéisation des normes ;

• Le renforcement de la concurrence loyale et donc de l’innovation, de l’entreprenariat, mais aussi une protection des entreprises européennes face à la concurrence d’entreprises internationales qui pouvaient auparavant proposer des services aux citoyens européens sans être tenues de respecter le droit local en matière de protection des données personnelles.

2) Les nouvelles obligations pesant sur les entreprises.

L’allègement des formalités a pour contrepartie l’établissement de nouvelles obligations pesant sur les responsables de traitements et sous-traitants qui devront :

• Mettre en place des mesures de protection des données appropriées permettant notamment la limitation du traitement des données à ce qui est strictement nécessaire, une durée de conservation fixée, l’existence de règles de suppression automatique des données. Il s’agit de la consécration du principe de « minimisation de la donnée » selon
lequel ne peut être conservé, durant une période limitée, que ce qui est nécessaire au traitement des données.

Tenir obligatoirement, à la disposition de l’autorité de contrôle, un registre des activités de traitement de données démontrant la mise en place des mesures de protection des données appropriées2.

• Faire une analyse de l’impact des opérations envisagées par l’entreprise sur la protection des données à caractère personnel lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

• Désigner obligatoirement un délégué à la protection des données3 notamment lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui « du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées », ou lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en « un traitement à grande échelle de catégories particulières de données visées à l’article 9 du règlement4 ». Ce délégué est chargé essentiellement d’informer et de conseiller l’entreprise ainsi que ses employés, de contrôler le respect du règlement européen et du droit national en matière de protection des données, de coopérer avec la CNIL et d’être le point de contact de celle-ci.

• Notifier les violations de données à caractère personnel à la CNIL dans un délai de 72 heures à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Parallèlement, l’information des personnes concernées est requise si cette violation est susceptible d’engendrer « un risque élevé » pour les droits et libertés de ces personnes.

• Développer les codes de bonne conduite et la certification nécessaire pour favoriser le respect du règlement.

3) La sanction du non-respect des obligations.

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. La CNIL peut notamment : prononcer un avertissement, limiter temporairement ou définitivement un traitement, suspendre les flux de données, ordonner de satisfaire aux demandes d’exercice des droits des personnes ou ordonner la rectification, ordonner la limitation ou l’effacement des données, retirer la certification délivrée.

Mais surtout, le règlement donne à la CNIL la possibilité de prononcer des amendes administratives en complément ou à la place des mesures correctives. Celles-ci peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

4) Une attention particulière accordée aux TPE et aux PME.

Lors des négociations du règlement, la France s’est attachée à garantir la sécurité juridique et la transparence aux opérateurs économiques, surtout pour les petites et moyennes entreprises. Cette prise en compte se traduit notamment dans plusieurs dispositions du règlement européen : • L’article 30 prévoit que la tenue d’un registre des activités de traitement ne s’applique pas aux entreprises comptant moins de 250 employés, sauf si le traitement contient des données sensibles. • L’article 40 indique que les États membres et les autorités de contrôle encouragent l’élaboration de codes de conduite qui tiennent compte de la spécificité des différents secteurs de traitement et des besoins spécifiques des PME. • L’article 42 prévoit le même encouragement pour la mise en place de mécanismes de certification en matière de protection des données.

Le Gouvernement a traduit cette exigence dans le projet de loi initial en proposant de modifier l’article 11 de la loi informatique et libertés (voir article 1 du projet de loi). La loi créée ainsi les conditions qui permettent à la CNIL d’accompagner au mieux les acteurs économiques grâce à l’élaboration « d’un droit souple » permettant la prise en compte rapide des évolutions technologiques. Dès à présent, la CNIL aide les entreprises à se préparer au règlement européen : • sur son site internet, elle décrit « six étapes pour se préparer » et a mis en ligne un logiciel pour faciliter la conduite et la formalisation d’analyses d’impact.

• elle met en place des « packs de conformité » qui permettent d’anticiper les changements attendus dans certains secteurs particuliers (véhicules connectés, assurances…) ;

• lors de son audition à l’Assemblée nationale, la CNIL a annoncé qu’elle tiendra compte du nécessaire délai d’apprentissage et rendrait aussi public un « pack PME-TPE » sur la mise en conformité au règlement ;

• elle procède à l’envoi de courriers de sensibilisation aux organisations professionnelles;

La prise en compte des besoins des petites et moyennes entreprises a été renforcée lors de l’examen du PJL en première lecture à l’Assemblée nationale avec l’adoption d’amendements précisant que la CNIL prend en compte les besoins spécifiques des micros, petites et moyennes entreprises lors de l’élaboration des codes de bonnes conduites, et dans sa démarche de certification.