Après un long processus parlementaire, la loi relative à la protection des données personnelles a été définitivement adoptée par l’Assemblée Nationale le 14 mai 2018. Elle introduit des éléments nécessaires à la transposition de la directive 680/2016 dite « Police » relative aux traitements des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites, ainsi que les éléments nécessaires à l’adaptation du droit français au RGPD (Règlement Général 2016/679 sur la Protection des Données). En effet, bien que le RGPD soit d’application directe, il comporte 56 clauses dites ouvertes donnant des marges de manœuvre aux Etats membres pour leurs applications. Voici donc les principales mesures prévues par la loi d’adaptation.

  1. Une personnalisation du champ d’application territorial de la loi

L’article 10 de la loi d’adaptation introduisant l’article 5-1 de la loi dite « Informatique et Libertés » (LIL) modifiée prévoit que les règles françaises adoptées en vertu du RGPD s’appliqueront à partir du moment où la personne concernée est un résident français, et ce même si le responsable de traitement n’est pas établi en France. Ainsi, tous les traitements impliquant une personne concernée résidant en France, donc quelle que soit sa nationalité, devra respecter à la fois les règles françaises, mais aussi les règles applicables dans le pays du responsable du traitement.

Les champs d’application prévus respectivement par le RGPD et la loi d’adaptation française ne coïncident donc pas réellement et des difficultés d’application sont à prévoir. En effet, un responsable du traitement qui traite des données devra respecter les règles françaises adoptées en vertu du RGPD pour les traitements réalisés sur les personnes résidant en France et les règles applicables dans le pays dans lequel il réside pour les autres personnes concernées.

  1. Des formalités préalables simplifiées

En vertu de l’article 11 de la loi d’adaptation modifiant les articles 22 et 27 de la LIL, seules quelques autorisations préalables sont maintenues pour :

  • Des traitements comportant le NIR. Un décret en Conseil d’Etat viendra détailler les catégories de responsables du traitement pouvant traiter des données comportant le NIR et les finalités de ces traitements. Les traitements relatifs au NIR précédemment autorisés par la CNIL pourront continuer à être mise en œuvre jusqu’au 25 mai 2020, notamment ceux mis en œuvre par les organismes de sécurité sociale, par les professionnels de santé dans le cadre des échanges avec les organismes d’assurance maladie, par les employeurs pour la gestion de la paie et le calcul des cotisations versées aux organisations de protection sociale ou encore par Pôle emploi.

  • Des traitements portant sur des données génétiques ou biométriques lorsqu’ils sont mis en œuvre pour le compte de l’Etat et sont nécessaires à l’authentification ou au contrôle de l’identité des personnes. Ils seront autorisés par décret en Conseil d’Etat.

  • Enfin, les traitements effectués dans le domaine de la santé à des fins de recherches, d’études ou d’évaluation continueront de faire l’objet d’une autorisation préalable.

  1. Des pouvoirs de la CNIL adaptés 

A. Missions de conseil (art.1 de la loi d’adoption)

Cet article prévoit que le CNIL a le pouvoir d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements. Dans ce cadre, la CNIL devra nécessairement prendre en considération les besoins spécifiques des PME/TPE et des collectivités locales pour les accompagner vers la conformité. La CNIL pourra alors « prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé ».

A cet égard, la CNIL entend s’appuyer notamment sur ses précédentes normes simplifiées, dont elle souhaite ré-exploiter les prescriptions si elles sont conformes au RGPD, et sur sa connaissance des secteurs métiers au travers des contrôles effectués jusqu’à ce jour.

B. Pouvoir certificateur (art. 1 de la loi d’adaptation)

La CNIL peut désormais certifier des personnes, des produits, des systèmes de données ou des procédures afin de reconnaître leur conformité RGPD. Elle peut également agréer des organismes certificateurs sur la base de l’accréditation qui leur a été délivrée par le COFRAC (organisme d’accréditation français) ou décider conjointement avec lui de lui déléguer cet agrément dans les conditions précisées par décret en Conseil d’Etat.

C. Pouvoir de contrôle et de sanction (articles 5 et 7 de la loi d’adaptation)

Toute personne concernée peut adresser à la CNIL une réclamation afin de signaler une atteinte aux règles de protection des données personnelles par un organisme public ou privé. A l’issue des investigations, la CNIL procède à des contrôles pouvant conduire (i) à l’émission d’une mise en demeure ou d’un avertissement, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, ou (ii) à la saisine d’une formation restreinte en vue du prononcé d’une sanction pécuniaire, d’une injonction de cesser le traitement ou d’un retrait de l’autorisation accordée par la CNIL.

Les contrôleurs de la CNIL pourront désormais procéder à des contrôles en ligne sous une identité d’emprunt, sans incidence sur la régularité des constatations.  De plus, la CNIL pourra prononcer des sanctions administratives conformément aux dispositions du RGPD c’est-à-dire jusqu’à 2% ou 4% du chiffre d’affaire annuel mondial d’une entreprise ou 10 ou 20 millions d’euros (le montant le plus élevé étant retenu). La CNIL acquiert la possibilité d’assortir les sanctions administratives d’une astreinte qui ne peut dépasser 100 000 euros par jour de retard. Enfin, les sanctions administratives pourront être appliquées aux collectivités locales et à leurs groupements, mais pas à l’Etat en vertu du principe d’auto-exemption des pouvoirs publics.

D. Rôle sur la scène européenne et internationale (art. 6 de la loi d’adaptation)

La loi détaille les modalités de coopération de la CNIL avec ses homologues européens, en particulier en cas de demande d’assistance mutuelle ou d’opération de contrôle conjointe. Un décret en Conseil d’Etat viendra préciser la procédure de la CNIL lorsqu’elle est autorité de contrôle chef de file.

  1. Validité du consentement et contrats

Les responsables de traitement ont l’obligation de démontrer que les contrats qu’ils concluent ne constituent pas un obstacle, ni un détournement  des consentements des utilisateurs finaux et à leur droit d’accéder aux applications et services de leur choix. L’article 28 (2) de la loi d’adaptation précise que « peut en particulier faire obstacle à ce consentement le fait de restreindre sans motif légitime d’ordre technique ou de sécurité les possibilités de choix de l’utilisateur final, notamment lors de la configuration initiale du terminal, en matière de services de communication au public en ligne et aux applications accessibles sur un terminal, présentant des offres et des conditions d’utilisation de nature équivalente selon des niveaux différenciés de protection des données personnelles. »

  1. Consentement des mineurs

L’article 20 de la loi d’adaptation introduisant l’article 7-1 de la LIL modifiée, fixe l’âge du consentement numérique (« en ce qui concerne l’offre directe de services de la société de l’information ») à 15 ans. En dessous de 15 ans, le traitement sera légal seulement si le consentement est donné conjointement par le mineur et le titulaire de l’autorité parentale.

Selon l’article 59 de la LIL modifiée, pour les traitements réalisés dans le cadre de recherches, d’études ou d’évaluations dans le domaine de la santé ayant une finalité d’intérêt public et incluant des personnes mineures, le mineur âgé de 15 ans ou plus pourra s’opposer lui-même à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Dans le cadre de ces traitements, le consentement du titulaire de l’autorité parentale reste nécessaire, cependant le mineur peut s’opposer à ce que les titulaires de l’autorité parentale soient informés du traitement si le fait d’y participer conduit notamment à révéler une information sur une action de prévention, un dépistage, un diagnostic.

  1. Notification des violations de données

Conformément à l’article 24 de la loi d’adaptation modifiant l’article 40 de la LIL, un décret en Conseil d’Etat viendra restreindre dans certains cas l’obligation de notification d’une divulgation ou d’un accès non autorisé aux données imposée par l’article 34 du RGPD. Ainsi, cette obligation ne s’appliquera pas si les traitements de données à caractère personnel concernés par la violation sont soit nécessaires au respect d’une obligation légale, soit nécessaires à l’exercice d’une mission d’intérêt public dont est investi le responsable de traitement. Il en sera de même lors la notification est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

  1. Introduction de l’action de groupe réparatrice

L’article 25 de la loi d’adaptation modifiant l’article 43 ter de la LIL autorise des actions de groupe non seulement pour la cessation des manquements, mais aussi pour réparation des préjudices matériels ou moraux. En revanche, la responsabilité de la personne ayant causé le dommage ne pourra être engagée que si le fait générateur du dommage est postérieur au 24 mai 2018. Comme précédemment, les personnes ne pourront pas intenter d’action de groupe à titre individuel ou par l’intermédiaire de leur avocat, mais uniquement en passant par une organisation ou une association à but non lucratif.

  1. Registre des activités de traitement

L’introduction d’un article 70-14 dans la LIL modifiée dispose que le registre doit notamment indiquer « la base juridique de l’opération de traitement » alors que cette mention n’était pas requise dans le RGPD.

  1. Statut du DPO

La loi n’apporte pas de précisions concernant le DPO en dépit des très nombreuses questions pratiques que posent aujourd’hui les entreprises. Elle supprime simplement les dispositions sur le correspondant Informatique et Libertés (CIL) dans la loi Informatique et Libertés. Ceci est conforme à l’avis du Conseil d’Etat du 11 décembre 2017 qui a estimé que les obligations relatives au DPO sont « très précisément définies par les articles 37 et suivants du règlement ». Selon le Conseil d’Etat, dans la mesure où les dispositions précitées sont d’application directe, elles n’appellent aucune précision autre que l’abrogation des dispositions contraires existantes. Les députés ont d’ailleurs supprimé la disposition, introduite par les sénateurs, qui aurait donné mission à la CNIL d’établir un document à destination des DPO des organismes publics. Une charte de déontologie applicable à l’ensemble des DPOs a été rédigée et est en cours d’actualisation par l’AFCDP, cependant.

Une dizaine de décrets d’application (dans des conditions précisées par le Conseil d’Etat après avis de la CNIL) sera nécessaire pour finaliser l’adaptation française au RGPD.  Ce qui confirme qu’en dépit des deux écoulées pour qu’Etats membres et organisations intégrant le RGPD dans leurs fonctionnements, la route sera encore longue pour clarifier certaines obligations pour les entreprises et certains cas particuliers… En outre, le 16 mai 2018, la loi a été dénoncée par plus de 60 sénateurs devant le Conseil constitutionnel comme portant atteinte à l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi. Selon les sénateurs, des troubles dans la rédaction ouvrent trop le champ à des interprétations, attribuant dans le même temps de trop vastes marges de manœuvre à l’exécutif ou aux autorités juridictionnelles. A noter que cette saisine du Conseil constitutionnel par les sénateurs a suspendu la promulgation de la loi d’adaptation. Les neufs sages ont finalement rendu leur décision le 12 juin 2018 en rejetant les arguments soulevés par les sénateurs à l’origine du recours et en apportant quelques précisions d’interprétation. Le Conseil indique ainsi explicitement que l’administration ne peut utiliser des algorithmes auto-apprenants comme fondement « exclusif » d’une décision concernant une personne. Le texte est donc globalement jugé conforme à la Constitution.