Article 1<sup>er</sup> (Missions de la Commission)

< Délibération CNIL >

Cet article, particulièrement important, vise à compléter les missions de la Commission pour tenir compte du nouvel environnement juridique, qui implique qu’elle doive s’inscrire, plus encore qu’aujourd’hui, dans une logique d’accompagnement des acteurs, eux-mêmes davantage responsabilisés et donc davantage demandeurs de sécurité juridique. Sont ainsi prévus l’établissement par la Commission d’outils destinés à faciliter la mise en conformité et l’évaluation préalable des risques par les acteurs ; l’encouragement de la production de codes de conduite ; l’élargissement du périmètre des mécanismes de certification et des précisions sur les règlements types de sécurité. Le projet prévoit en outre que la Commission peut être consultée par le Président des deux chambres sur toute proposition de loi relative à la protection des données.

- La Commission souligne le grand intérêt des dispositions du a) bis introduit dans l’article 11 de la loi du 6 janvier 1978 par le projet de loi, qui lui permettront de convertir son patrimoine normatif actuel (autorisations uniques, normes simplifiées, etc.) dans le nouvel environnement juridique sous la forme de référentiels, lignes directrices et recommandations notamment.

Par ce biais, la réduction des formalités préalables ne privera pas le régulateur d’outils de régulation efficaces permettant de guider les acteurs dans leurs démarches de conformité, en leur donnant, par des outils de droit souple ou d’interprétation de l’état du droit, une indication sur ce que le régulateur estime conforme à la loi ou au Règlement à un moment donné. Ces référentiels pourront être pris en compte, le cas échéant, dans la mise en œuvre par les responsables de traitements de leur obligation de réaliser une analyse d’impact préalable – soit pour orienter les hypothèses de dispense d’analyse d’impact, soit pour guider la confection de ces analyses. Dans ce dernier cas, le niveau de risque pourra être réputé acceptable si le traitement envisagé est conforme au référentiel ; en revanche, si le traitement s’écarte du référentiel, l’analyse d’impact devra être soumise à la Commission.

La Commission relève toutefois que l’article relatif aux missions fait référence à la présente loi et au Règlement (UE) 2016/679 . Elle estime nécessaire de viser plus largement les textes relatifs à la protection des données à caractère personnel dans la mesure où d’autres textes sont susceptibles de trouver application, tels que le futur Règlement dit e-privacy , et nécessiter l’élaboration de référentiels.

- La Commission souscrit également à la possibilité, prévue par la rédaction projetée du b) de l’article 11 de la loi du 6 janvier 1978 modifiée, d’élaborer des règlements types , au titre notamment des conditions supplémentaires ou des garanties que le droit national peut introduire pour le traitement des données biométriques, génétiques et de santé ou pour les données d’infractions.

La Commission regrette toutefois qu’ils ne puissent concerner les traitements mis en œuvre pour le compte de l’Etat, agissant dans l’exercice même des prérogatives de puissance publique, alors que le besoin de cadrage du traitement de certaines données n’y est pas moins important.

Elle regrette également que l’objet de ces règlements-types soit limité à la seule dimension de la sécurité des systèmes. En effet, d’autres dimensions de la protection des données (finalité, minimisation des données, respect des droits, etc.) devraient pouvoir faire l’objet d’un encadrement par des règles de fond, et non seulement par des règles de sécurité, dans le respect des marges de manœuvre permises par le Règlement, notamment par son article 9.4. Faute de disposer de la possibilité d’adopter des règles contraignantes – alors qu’elle dispose d’ores et déjà d’un pouvoir réglementaire, via par exemple ses autorisations uniques – la Commission ne pourra tout au plus qu’émettre des recommandations. Or, s’agissant de données aussi sensibles, des instruments de droit dur s’avéreraient plus protecteurs des droits des personnes et plus sûrs pour les opérateurs, en affichant clairement les frontières entre le permis et l’interdit.

La Commission, par ailleurs consciente du risque d’une inadéquation rapide entre le contenu de ces règlements et la réalité d’un secteur concerné, et du danger de trop grandes disparités entre la France et les autres pays européens qui n’encadreraient pas de manière aussi stricte certaines catégories de traitement, estime dès lors que de tels instruments devraient être prévus, dont elle ferait naturellement un usage raisonné.

- Concernant le recours aux mécanismes de certification, les pouvoirs de la Commission sont explicités dans un nouveau paragraphe f bis) du 2° de l’article 11 sans faire de lien avec l’actuel c) du 3° qui concerne la délivrance actuelle des labels, qu’il conviendrait de supprimer tout en réinjectant dans le texte la possibilité de délivrer des labels et marques. Ces modifications permettraient de donner une identité visuelle à la certification des personnes, produits, systèmes ou procédures, destinée à démontrer la conformité avec le Règlement et la loi. Le projet de loi pourrait toutefois être complété, à titre de clarification, pour indiquer que la Commission peut, dans l’exercice de son pouvoir de fixation des règles d’agrément, établir des exigences supplémentaires au référentiel d'accréditation du Cofrac .

- La Commission estime enfin que le projet de loi devrait être complété de la possibilité pour la Commission de participer aux instances européennes et internationales compétentes en matière de protection des données. Ainsi, la participation de la Commission au Comité européen de protection des données (CEPD), à la fois dans le contexte du Règlement et de la Directive, devrait être expressément prévue, ainsi que la possibilité plus large de participer aux instances internationales. En effet, la loi actuelle ne prévoit cette possibilité que sur demande du Premier ministre, à l’article 11-4°-d), ce qui s’est révélé insuffisant et inadapté à la fréquence des réunions.

< Délibération CNIL >