ARTICLES 24

< Étude d'impact - N° 490 - Projet de loi relatif à la protection des données personnelles >

1. L’article 24 du présent projet de loi précise la date d'entrée en vigueur des dispositions de la présente loi au 25 mai 2018. Il permet cependant, pour les traitements relevant de la directive, conformément à l’article 63 de celle-ci, un report de l’obligation de journalisation au 6 mai 2023 ou au 6 mai 2026.

Le projet de loi prévoit que les dispositions des titres I à III, ainsi que les articles 21 et 22 entrent en vigueur à compter du 25 mai 2018, soit la date d’entrée en application du règlement (UE) 2016/679 (article 99).

L’article 63 de la directive (UE) 2016/680 prévoit quant à lui que : « 1 . Les États membres adoptent et publient, au plus tard le 6 mai 2018, les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive. Ils communiquent immédiatement à la Commission le texte de ces dispositions. Ils appliquent ces dispositions à partir du 6 mai 2018. ».

Ces deux textes qui font partie « du paquet européen de la protection des données », adoptés le même jour (27 avril 2016), sont donc applicables avec 19 jours de différence alors même qu’ils contiennent de très nombreuses dispositions en commun.

Ce décalage improbable vient peut-être du fait que la directive entre en vigueur le jour suivant celui de sa publication (article 64 de la directive) alors que le règlement entre en vigueur le vingtième jour suivant celui de sa publication (article 99 du règlement), soit 19 jours de différence également.

L’évolution du cadre de la protection des données du fait du règlement et de la directive est une source de complexité pour les acteurs privés et publics. Certaines dispositions spécifiques à la Commission nationale de l'informatique et des libertés s’appliquent peu importe les finalités du traitement.

Par conséquent, dans une optique de sécurité juridique et de simplification, le projet de loi prévoit une entrée en vigueur indifférenciée pour les titres Ier à III de la présente loi, à savoir le 25 mai 2018.

2. Sur les traitements en cours :

En ce qui concerne les traitements relevant du champ du règlement :

Le règlement est applicable à partir du 25 mai 2018. L’ensemble des traitements existants devront être conformes au règlement à cette date dès lors notamment que l’article 99 avait prévu une application deux ans après son adoption.

Le règlement a prévu le cas des accords conclus par les États membres. Son article 96 dispose en effet que : « Les accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales qui ont été conclus par les États membres avant le 24 mai 2016 et qui respectent le droit de l'Union tel qu'il est applicable avant cette date restent en vigueur jusqu'à leur modification, leur remplacement ou leur révocation. ».

Aucun autre article ne prévoit en revanche d’application différée pour les traitements relevant du règlement.

Le considérant 171 du règlement rappelle à cet égard l’obligation de mise en conformité : « Les traitements déjà en cours à la date d'application du présent règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur. ». Ce considérant prévoit cependant deux exceptions :

- D’une part, « Lorsque le traitement est fondé sur un consentement en vertu de la directive 95/46/CE, il n'est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux conditions énoncées dans le présent règlement, de manière à ce que le responsable du traitement puisse poursuivre le traitement après la date d'application du présent règlement. » ;

- D’autre part, « Les décisions de la Commission qui ont été adoptées et les autorisations qui ont été accordées par les autorités de contrôle sur le fondement de la directive 95/46/CE demeurent en vigueur jusqu'à ce qu'elles soient modifiées, remplacées ou abrogées ».

Ainsi, certains traitements mis en œuvre conformément au droit national antérieur au 25 mai 2018 pourront bénéficier de la présomption de conformité au règlement jusqu’à leur modification, remplacement ou abrogation, à savoir :

- les traitements ayant pour condition de licéité le consentement de la personne concernée, si le consentement a été donné dans les conditions prévues par le règlement. Toutefois, cette exception du consentement a une portée très limitée. Le considérant indique simplement qu’un traitement fondé sur le consentement reste valable si ce consentement a été donné dans les conditions du règlement, les autres règles de fond et de procédure du règlement ayant vocation à s’appliquer.

- les traitements soumis à certaines autorisations préalables de la Commission nationale de l’informatique et des libertés. Or ces autorisations semblent très limitées et il n’apparait pas que ce considérant puisse recouvrir les autorisations de l’article 25 de loi n° 78-17 ou les formalités préalables prévues par les articles 22 et 27 de cette même loi. L’article 46(5) du règlement semble, en effet, se limiter aux seules autorisations relatives à des transferts de données en dehors de l’Union européenne 147.

Toutefois, dans ses lignes directrices, le G29, groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données de l’Union européenne, donne une portée plus importante à ce considérant 171 du règlement : « L’obligation d’effectuer une AIPD [analyse d’impact relative à la protection des données] s’applique aux opérations de traitement existantes susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques et pour lesquelles les risques associés ont évolué, compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Aucune AIPD n’est nécessaire pour les opérations de traitement qui ont fait l’objet d’un examen par une autorité de contrôle ou par le détaché à la protection des données, conformément à l’article 20 de la directive 95/46/CE, et dont la mise en œuvre n’a pas changé depuis le contrôle préalable. En effet, « Les décisions de la Commission qui ont été adoptées et les autorisations qui ont été accordées par les autorités de contrôle sur le fondement de la directive 95/46/CE demeurent en vigueur jusqu’à ce qu’elles soient modifiées, remplacées ou abrogées » (considérant 171).

À l’inverse, ceci signifie que tout traitement de données dont les conditions de mise en œuvre (portée, finalités, données à caractère personnel collectées, identité des responsables du traitement ou des destinataires des données, durée de conservation des données, mesures techniques et organisationnelles, etc.) ont changé depuis l’examen préalable effectué par l’autorité de contrôle ou le détaché à la protection des données et sont susceptibles d’engendrer un risque élevé doit faire l’objet d’une AIPD. (…)

À titre de bonne pratique, une AIPD devrait faire l’objet d’un examen continu et être régulièrement réévaluée. Par conséquent, même si une AIPD ne s’avère pas nécessaire le 25 mai 2018, il conviendra, le moment venu, que le responsable du traitement procède à une telle AIPD dans le cadre de ses obligations générales de responsabilité. »148

Le projet de loi ne prévoit pas une période de mise en conformité plus longue que celle prévue par le règlement, celle-ci devant s’entendre au regard du considérant 171.

En ce qui concerne les traitements relevant du champ de la directive :

L’article 63 de la directive (UE) 2016/680 prévoit dans son § I que : « Les États membres adoptent et publient, au plus tard le 6 mai 2018, les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive. (…). Ils appliquent ces dispositions à partir du 6 mai 2018. »

Le § II indique cependant que : « Par dérogation au paragraphe 1, un État membre peut prévoir que, à titre exceptionnel, lorsque cela exige des efforts disproportionnés, les systèmes de traitement automatisé installés avant le 6 mai 2016 sont mis en conformité avec l'article 25, paragraphe 1, au plus tard le 6 mai 2023 ».

Le § 3 prévoit une dérogation plus importante aux § 1 et 2 en permettant « dans des circonstances exceptionnelles », la mise d’un système donné de traitement automatisé, en conformité avec l'article 25, paragraphe 1 « dans un délai déterminé après le 6 mai 2023, sans que ce délai ne dépasse le 6 mai 2026 ; visé au paragraphe 2 du présent article, lorsque, à défaut de cela, de graves difficultés se poseraient pour le fonctionnement du système de traitement automatisé en question. »

Le considérant 96 de la directive précise ces dispositions en indiquant que : « Les États membres devraient disposer d'un délai maximal de deux ans à compter de la date d'entrée en vigueur de la présente directive pour sa transposition. Les traitements déjà en cours à cette date devraient être mis en conformité avec la présente directive dans un délai de deux ans après son entrée en vigueur. Toutefois, lorsque ces traitements ont lieu en conformité avec le droit de l'Union applicable avant la date d'entrée en vigueur de la présente directive, les exigences prévues par celle-ci concernant la consultation préalable de l'autorité de contrôle ne devraient pas s'appliquer aux opérations de traitement déjà en cours à ladite date, étant donné que ces exigences, de par leur nature même, doivent être satisfaites avant le traitement. Lorsque les États membres recourent au délai de mise en œuvre plus long, venant à expiration sept ans après la date d'entrée en vigueur de la présente directive, pour se conformer aux obligations en matière de journalisation pour les systèmes de traitement automatisé mis en place avant cette date, le responsable du traitement ou le sous-traitant devrait s'être doté des moyens effectifs de démontrer la licéité du traitement des données, de pratiquer l'autocontrôle et de garantir l'intégrité et la sécurité des données, tels que des journaux ou d'autres formes de registres »

Toutefois, dans la mesure où sont maintenues les formalités préalables d’un arrêté ou d’un décret pris après avis de la Commission nationale de l’informatique et des libertés, les traitements valablement institués conformément à ces dispositions demeurent licites, même si des adaptations devront parfois être faites dans les textes réglementaires les ayant institué afin que ces textes soient mis en conformité avec les nouvelles dispositions législatives, mais que, même si ces adaptations ne sont pas réalisées avant la date butoir de transposition, cela ne rendra pas ces traitements illicites pour autant au regard du droit français.

La possibilité expresse, que propose l’article 28 du projet de loi, d’un report au 6 mai 2023, voire au 6 mai 2026, de l’obligation de journalisation prévue par l’article 25 de la directive ne doit en effet pas être interprétée comme impliquant que le 1 de l’article 63 de la directive prévoyant l’application des nouvelles dispositions à compter du 6 mai 2018 a pour conséquence de priver de base légale tous les traitements autorisés avant cette date.

3. La Commission nationale de l’informatique et des libertés a été consultée sur cet article.

< Étude d'impact - N° 490 - Projet de loi relatif à la protection des données personnelles >