4

Une adaptation aux risques

< Rapport d'information de la commission des affaires européennes >

La réduction des formalités préalables, propre au régime d’autorisation, au profit d’un système de contrôle ex post et des sanctions afférentes, ne fait pas l’économie d’une différentiation en fonction des risques traités.

L’évaluation des risques relève au premier chef de la CNIL, qui se voit confier des missions autres que celles qui étaient inscrites jusqu’alors dans la loi. En particulier, les instruments de droit souple introduits à l’article 1er du projet de loi, tels que les lignes directrices, référentiels et autres recommandations, à destination des responsables de traitement ou des sous-traitants, visent à homologuer des comportements en fonction du risque de brèche dans le traitement des données personnelles. De la même manière, les analyses d’impact, auxquelles seront tenus les responsables de traitement en fonction des activités exercées, pourront être complétées par une évaluation du risque résiduel après étude d’impact. L’accompagnement de la CNIL auprès des acteurs privés doit les aider à se situer sur une échelle de risques et donc de prendre les mesures appropriées.

La logique de responsabilisation des entreprises en charge du traitement de données personnelles est résumée à l’article 24 du règlement : « Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œ uvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué́ conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »

C’est pourquoi le régime d’autorisation a été maintenu par le règlement pour certains cas précis, tels que la possibilité d’un risque élevé. Le règlement prévoit en particulier que l’analyse d’impact auquel doit se conformer, compte tenu des capacités technologiques dont il dispose, le responsable du traitement, se justifie en raison de la nature élevée du risque auquel s’expose ce dernier. Puis, selon l’article 36 du règlement, le responsable du traitement est tenu de consulter l’autorité de contrôle préalablement au traitement si l’analyse d’impact indique que le traitement en question présente des risques élevés, sauf à mettre en œuvre des mesures destinées à l’atténuer. En réponse, l’autorité de contrôle fournit un avis sous un délai contraint de huit semaines, potentiellement prolongé de six semaines à raison de la complexité du traitement.

Le projet de loi reprend dans son ensemble les logiques de responsabilisation des acteurs du traitement des données personnelles, y compris les sous-traitants, et de gradation des procédures en fonction des risques encourus. Il vise également une harmonisation européenne appréciable ainsi que des exceptions justifiées dans leur ensemble.

Votre rapporteure regrette toutefois des imprécisions sur certains points et un texte souvent difficilement lisible, du fait notamment de la multiplicité des sources juridiques et de la volonté de conserver l’architecture de la loi de 1978. L’ensemble est nécessairement générateur de complexité, puisque les dispositions d’application directe du règlement n’apparaissent pas dans le corps du texte. Dès lors, votre rapporteure encourage le Gouvernement, en vertu de l’article 20 de l’actuel projet de loi, à user de l’habilitation pour, dans un délai de six mois, procéder à la réécriture de l’ensemble de la loi du 6 janvier 1978 afin notamment d’améliorer son intelligibilité, de mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel.

< Rapport d'information de la commission des affaires européennes >