Introduction

< Délibération CNIL >

La Commission a été saisie, le 17 novembre 2017, d’un projet de loi d’adaptation au droit de l’Union européenne de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, sur le fondement de l’article article 11-4°-a) de cette même loi. En application de l'article 22 de la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes, cet avis sera rendu public.

Ce projet de loi a pour objet la mise en conformité du droit national avec le paquet européen de protection des données adopté par le Parlement européen et le Conseil le 27 avril 2016 qui se compose :

  • d’un Règlement (UE) 2016/679 (ci-après, le Règlement ) relatif à la protection des personnes physiques à l’égard des données à caractère personnel, qui constitue le cadre général de la protection des données et est directement applicable à compter du 25 mai 2018 ;

  • d’une Directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuites en la matière ou d’exécution de sanctions pénales (ci-après la Directive ), qui doit être transposée au plus tard le 6 mai 2018.

Si la plupart des principes régissant le traitement de données à caractère personnel, posés par le législateur il y a près de 40 ans, restent valables, ce cadre juridique introduit un changement de paradigme.

Il repose en effet sur une logique de responsabilisation renforcée des acteurs, responsables de traitements et sous-traitants. Alors que la loi de 1978 reposait en grande partie sur une logique de formalités préalables (déclaration, autorisation, etc.), le Règlement repose sur une logique de conformité continue, tout au long du cycle de vie de la donnée, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur. En contrepartie de la réduction du contrôle en amont exercé via ces formalités, la Commission voit ses pouvoirs de contrôle et de sanction renforcés par la possibilité d’infliger des amendes allant, dans les cas les plus graves, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires pour une entreprise.

Le Règlement renforce également les droits des personnes en facilitant l’exercice de ceux-ci et en créant de nouveaux droits, comme le droit à la portabilité des données personnelles ou un droit à l’oubli propre pour les mineurs.

Enfin, pour permettre une application uniforme et cohérente du Règlement, le législateur européen a prévu un mécanisme de coopération renforcée entre les autorités de protection des données, qui devront adopter des décisions communes lorsque les traitements de données seront transnationaux, dans le cadre du mécanisme dit du guichet unique .

L’adoption du paquet européen de protection des données constitue donc une avancée majeure. Ces textes doivent permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. Ils constituent également un standard international en matière de protection des données, notamment compte tenu du champ d’application élargi du Règlement via le critère de ciblage.

Ces changements nécessitent d’adapter la loi fondatrice du 6 janvier 1978, que le projet choisit symboliquement de ne pas abroger, tout en conservant son article 1er.

Le projet de loi vise ainsi à modifier certains articles de la loi du 6 janvier 1978, soit pour les rendre compatibles avec le droit de l’Union (titre I), soit pour tirer parti des marges de manœuvre prévues par le Règlement (titre II), soit enfin pour transposer les dispositions de la Directive (titre III).

< Délibération CNIL >