1.

< Avis du Conseil d'État >

Saisi le 17 novembre 2017 d’un projet de loi d’adaptation au droit de l’Union européenne de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, le Conseil d’Etat observe en premier lieu que la richesse et l’ampleur du règlement (UE) 2016/679 et de la directive (UE) 2016/680 du Parlement européen et du Conseil en date du 27 avril 2016 ne permettent pas de décrire leur contenu dans le présent avis sans risquer d’en méconnaître des aspects importants. Le Conseil d’Etat souhaite cependant attirer l’attention sur deux aspects majeurs des changements qu’apportent ce règlement et cette directive dans le mode d’intervention des pouvoirs publics pour protéger les libertés fondamentales lors du traitement des données personnelles, changements dont la bonne appréhension est essentielle à la compréhension des appréciations qu’il porte sur l’équilibre du projet de loi examiné.

Auparavant, une directive de 1995 visait à harmoniser des pratiques nationales écloses dans chaque Etat, la France en premier, au fur et à mesure des évolutions. Celles-ci ont conduit à la création dans chaque Etat membre d’une ou plusieurs autorités de contrôle, aux pouvoirs inégaux d’un pays à l’autre, coordonnées par un groupe les réunissant, dénué de pouvoirs propres. Le régime de supervision des traitements reposait sur des prohibitions absolues, tempérées par un système de formalités préalables allant de la déclaration du traitement, jusqu’à son autorisation sous de strictes contraintes de procédure et de fond, proportionnées au degré d’atteinte portée par le traitement aux libertés.

Le nouveau régime opère un renversement complet des logiques antérieures.

Le champ des données à traiter ne comporte plus que de rares prohibitions absolues et invite à raisonner en termes de risques d’atteinte aux libertés et droits fondamentaux. La charge de cette analyse n’est plus définie a priori par le législateur, imposant des contrôles progressivement durcis, mais incombe aux responsables du traitement. Ces derniers devront mener une analyse critique réalisée par un délégué à la protection des données, interne à l’organisation mais indépendant qui, chargé de faire respecter le règlement, la directive et les textes pris pour leur application, est désormais le pivot de leur respect. Dans le cas où un traitement a des effets potentiels graves, l’autorité de contrôle est saisie. Son rôle est désormais d’abord de déterminer de bonnes pratiques, en liaison avec les responsables, et de définir des référentiels, pour encadrer la création des traitements les plus communs et les harmoniser. Pour assurer le bon fonctionnement du système, l’autorité de contrôle est dotée de pouvoirs d’investigation et de sanctions renforcés.

< Avis du Conseil d'État >