INTRODUCTION GENERALE

< Étude d'impact - N° 490 - Projet de loi relatif à la protection des données personnelles >

1. Constituant l’une des dimensions du droit au respect de la vie privée, la protection des données à caractère personnel est désormais consacrée comme un droit fondamental à part entière dans la Charte des droits fondamentaux de l’Union européenne (article 8).

La France a toujours été attentive à cette question et a le plus souvent été pionnière. Après avoir été l'un des premiers pays de l'Union européenne à se doter d'une législation globale de protection des données à caractère personnel, avec la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et d’une autorité de contrôle chargée de veiller à son respect, la Commission nationale de l'informatique et des libertés), notre pays a su, dès 2004 retenir une approche permettant de responsabiliser les organismes mettant en œuvre des traitements de données.

Par le recours au correspondant à la protection des données à caractère personnel ou en confiant de nouvelles missions à la Commission nationale de l'informatique et des libertés comme la certification, l'homologation, la labellisation et la promotion de l'utilisation de technologies protectrices de la vie privée, la France a permis aux différents organismes d'évoluer dans un environnement leur assurant la sécurité juridique tout en protégeant les droits fondamentaux.

2. La protection des données à caractère personnel revêt une dimension particulière depuis l’avènement de l’ère du numérique. Le partage et la collecte de telles données connaissent en effet un développement spectaculaire. C’est par ce biais que les nouvelles technologies transforment aujourd’hui profondément notre l'économie et les rapports sociaux.

Dans le même temps, la protection des données à caractère personnel constitue un motif de préoccupation croissante chez nos concitoyens ; étant entendu qu’une telle préoccupation est largement partagée en Europe. En 2017, 85% des Français se disent ainsi préoccupés par la protection de leurs données personnelles en général, soit une augmentation de quatre points par rapport à 2014. Une question qui suscite encore plus d’inquiétude dès lors qu’il s’agit de la protection des données sur Internet : 90% des personnes interrogées se disent préoccupés pour leurs données mises en ligne, ce qui représente cinq points de progression par rapport à en 20141.

3. Devant de telles transformations, il était nécessaire que l’Union européenne prenne les dispositions nécessaires. Dans ce contexte, la Commission européenne a présenté, en janvier 2012 deux projets distincts définissant un nouveau cadre juridique applicable à la protection des données à caractère personnel2. La France a pris une part très active dans les négociations afin de maintenir et promouvoir son modèle de protection des données qui constitue encore aujourd’hui une référence en Europe et dans le monde.

A l’issue de longues négociations, le Parlement européen et le Conseil ont adopté le « paquet protection des données » le 27 avril 2016, fruit d’un compromis entre les Etats membres de l’Union européenne.

Ce paquet se compose :

• d’un règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement (UE) 2016/679). Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données.

Ce règlement abroge la directive 95/46/CE transposée par la loi n° 2004-801 du 6 août 2004 qui avait modifié la loi n° 78-17 du 6 janvier 1978. Il conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi n° 78-17 du 6 janvier 1978. Il renforce ainsi notamment le droit d'information des personnes, qui disposeront d'informations plus complètes et claires sur le traitement de leurs données, et en crée de nouveaux : droit à l’effacement ou « droit à l'oubli », droit à la portabilité des données.

En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi n° 78-17 du 6 janvier 1978.

Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d'un système de contrôle ex ante de la Commission nationale de l’informatique et des libertés par le biais des déclarations et autorisations à un contrôle ex post plus adapté aux évolutions technologiques.

Un tel changement de paradigme, reposant sur une logique de responsabilisation des organismes mettant en œuvre des traitements, nécessite une évolution des missions et pouvoirs de l'ensemble des autorités de protection des données de l'Union européenne, la Commission nationale de l'informatique et des libertés en France.

En contrepartie, la Commission nationale de l’informatique et des libertés voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial de l'organisme concerné.

Dans ce nouvel environnement juridique, la Commission nationale de l'informatique et des libertés devra accompagner plus encore les acteurs. Il s’agit également de créer un cadre juridique sécurisé pour les opérateurs compatible avec la volonté d’attractivité économique de notre territoire.

Les autorités de contrôle devront également coopérer afin de parvenir à une position commune unique pour toute l'Union européenne, gage de sécurité juridique pour les responsables de traitement et d’une application uniforme en matière de protection des données.

Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l'Union européenne et offrant des biens et services aux Européens.

Ce règlement est applicable à compter du 25 mai 2018.

• d’une directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales (directive (UE) 2016/680).

La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour d’autres finalités ou par une autorité qui n’est pas compétente. La directive n’est pas non plus applicable aux traitements intéressant la sûreté de l’Etat et la défense, qui ne relèvent pas du droit de l’Union.

La directive vise à faciliter le libre flux des données à caractère personnel entre les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces au sein de l'Union, et le transfert de telles données vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.

Certaines dispositions de la directive sont porteuses d’un changement de philosophie du droit de la protection des données ; d’autres représentent de réelles innovations qui, sans témoigner d’un réel changement de philosophie, imposent d’importantes modifications d’ordre technique.

Les principales innovations de la directive consistent en la création :

- d’un droit à l’information de la personne concernée par les données personnelles traitées en matière pénale ;

- d’un droit d’accès, de rectification et d’effacement s’exerçant par principe de manière directe, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.

Elle précise également les conditions applicables aux transferts de données à caractère personnel vers les autres Etats membres, vers les Etats tiers et vers des entités privées au sein d'Etats tiers en instaurant un mécanisme à plusieurs niveaux en fonction du degré « d’adéquation » du niveau de protection des données. Elle prévoit enfin que tous les accords incompatibles avec les règles de protection des données doivent être renégociés ou complétés par des protocoles pour assurer la protection des données à caractère personnel.

Cette directive doit être transposée d’ici le 6 mai 2018.

4. L’articulation entre la directive et le règlement est précisée par le considérant 12 de la directive. Celui-ci indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d'autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non». Il précise que « ces activités peuvent également comprendre l'exercice de l'autorité par l'adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d'émeutes», et que « parmi ces activités figure également le maintien de l'ordre public lorsque cette mission est confiée à la police ou à d'autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ».

Il indique en revanche, qu’entrent dans le champ d’application du règlement, pour autant qu'ils relèvent du droit de l'Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d'autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d'enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

5. Au-delà des exigences propres à la mise en conformité avec le droit européen de la protection des données à caractère personnel, le règlement prévoit plus d’une cinquantaine de marges de manœuvre qui permettent aux Etats membres de préciser certaines dispositions ou d’aller plus loin que ce que prévoit le droit européen. Certaines de ces marges de manœuvre permettent de maintenir des dispositions déjà existantes dans notre droit national. D’autres, en revanche, peuvent être mises en œuvre afin notamment de prendre en compte l'évolution technologique et sociétale.

Le rapport annuel du Conseil d'Etat de 2014, intitulé « Le numérique et les droits fondamentaux » a souligné la nécessité de repenser la protection des droits fondamentaux afin de mettre le numérique au service des droits individuels et de l'intérêt général.

De même, le rapport d'information déposé par la Commission des lois constitutionnelles, de la législation et de l'administration générale de la République de l’Assemblée nationale a également révélé l'importance des « incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française »3.

6. Le présent projet de loi a pour objet d’assurer la mise en conformité de notre droit national avec ces nouvelles exigences. La Commission européenne pouvant saisir la Cour de justice de l’Union européenne pour défaut de transposition ou pour transposition incorrecte à l’expiration du délai de transposition des directives4 , il est donc impératif de respecter les délais de transposition des directives pour lesquelles la France est susceptible d’être condamnée à d’importantes pénalités financières en cas de retard de transposition.

7. La présente étude d’impact ne traite pas de l’ensemble des dispositions du règlement qui sont d’application directe5 et ne peuvent être recopiées dans le projet de loi. Ainsi, ne sont pas abordés l’impact des dispositions relatives par exemple au délégué à la protection des données ou les droits nouvellement créés (droit à l’oubli, droit à la portabilité des données) qui devront être mises en œuvre par les responsables de traitements dans le champ d’application du règlement. De même, n’est pas abordée la question de l’âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l'information, fixé à 16 ans par le règlement6 , le Gouvernement ayant fait le choix de ne pas faire usage de la marge de manœuvre permettant aux Etats membres d’abaisser cet âge jusqu’à 13 ans.

< Étude d'impact - N° 490 - Projet de loi relatif à la protection des données personnelles >