Le nouveau projet de loi français relatif à la protection des données personnelles était attendu. Il permet de concrétiser en droit français la réforme du droit européen de la protection des données personnelles adoptée en avril 20161. L’ambition affichée est d’adapter ce droit aux évolutions technologiques en facilitant la libre circulation des données personnelles tout en assurant un niveau de protection élevé des individus. Cette harmonisation opère un changement de paradigme à l’échelle de l’Union européenne. Elle propose un renforcement de la régulation par les responsables de traitement, leurs sous-traitants et les autorités de la protection des données sous le contrôle des juges. L’objectif est d’inculquer aux acteurs une véritable culture de la protection des données personnelles prise en compte dès la conception de leurs produits et services, et dans leur organisation interne. Il suffit ici d’évoquer la nécessité de pouvoir documenter le respect de ses obligations, de procéder à une analyse d’impact préalable ou encore l’obligation de désigner un délégué de la protection des données personnelles (DPO) pour certains traitements aux risques élevés au regard des droits et libertés des individus.
La réforme envisagée est donc d’envergure tant elle nécessite de nombreuses adaptations par les acteurs. Au-delà du cadre fixé à l’échelle de l’Union européenne, d’importantes marges de manœuvre ont été concédées afin de finaliser l’application du droit de la protection des données au sein de chaque État. Le choix a été fait par le gouvernement français de réécrire la loi Informatique et Libertés de 1978 selon une approche singulière qui illustre à quel point la réalisation du droit de l’Union européenne en droit national peut être une œuvre complexe de légistique (III). Le projet de loi apporte des clarifications attendues liées au changement de paradigme visant à placer la régulation au cœur du nouveau droit européen de la protection des données (I). Certaines nouveautés introduites à l’initiative du gouvernement français semblent néanmoins discutables au regard de l’effectivité de la protection des données personnelles (II).
I - Des nouveautés liées au changement de paradigme du droit européen de la protection des données personnelles
Le projet de loi apporte principalement trois types de clarifications qui concernent le renforcement des pouvoirs de la CNIL, la limitation des formalités préalables à la mise en œuvre des traitements, et l’encadrement national des traitements spécifiques.
A- Le renforcement de la palette des pouvoirs de régulation de la CNIL
La CNIL en tant qu’autorité de régulation en matière de données personnelles en France, voit ses pouvoirs augmenter pour aider les acteurs à sécuriser leurs traitements, pour améliorer ses contrôles, pour sanctionner les violations voire saisir le juge.
Premièrement, la CNIL acquiert de nouveaux pouvoirs afin d’accompagner les acteurs vers la conformité au nouveau droit de la protection des données personnelles. D’une part, elle obtient de nouvelles missions en matière de certification des personnes, des produits et des systèmes de données ou de procédures. Elle pourra au choix et selon les cas, certifier elle-même ou confier cette mission à des organismes certificateurs qu’elle aura préalablement agréés sur la base de critères de référentiels de certification et d’agrément. L’insertion de la CNIL dans le marché de la certification ne manquera pas de soulever des interrogations quant à sa capacité d’assumer un tel rôle du point de vue technique. Mais surtout, une telle mission emporte le risque de la transformer en juge et partie ce qui pourrait porter atteinte à la crédibilité de ses autres fonctions de régulation. D’autre part, le développement d’un droit souple de la CNIL est encouragé afin d’offrir un cadre juridique sécurisé dans un environnement en perpétuelle mutation. La CNIL doit notamment établir la liste des traitements devant faire l’objet d’une analyse d’impact préalable par les responsables de traitement notamment en raison des risques élevés qu’ils comportent pour les droits et libertés des personnes concernées.
Deuxièmement, les pouvoirs de contrôle de la CNIL sont améliorés. D’une part, ses agents obtiennent un droit de contrôle sur place généralisé à l’ensemble des locaux servant à la mise en œuvre d’un traitement des données personnelles. L’objectif est de pouvoir inclure des contrôles non seulement dans les locaux professionnels, mais aussi sur des matériels installés dans des couloirs et autres espaces communs. Seuls le secret professionnel applicable aux relations entre un avocat et son client, le secret des sources des traitements journalistiques et sous certaines conditions le secret médical sont opposables à de tels contrôles. D’autre part, le projet de loi permet d’augmenter l’effectivité des contrôles en ligne des agents de la CNIL introduits en 2014, en les autorisant à utiliser une identité d’emprunt. Enfin, le projet de loi permet la participation d’agents des homologues européens de la CNIL à des opérations conjointes sur le territoire français et inversement la participation d’agents de la CNIL à des enquêtes dans un autre État membre. Le projet de loi précise comment la CNIL peut participer aux mécanismes de coordination des décisions prises entre les autorités européennes de protection des données personnelles à l’égard d’un responsable de traitement établi dans plusieurs États membres.
Troisièmement, les pouvoirs de sanctions de la CNIL ont été renforcés. Le montant des amendes administratives a été sensiblement augmenté pour être plafonné à 10 millions d’euros ou s’agissant d’une entreprise à 2% du chiffre d’affaires annuel mondial en cas de manquement au droit national. Les amendes pour certains manquements peuvent être plafonnées à 20 millions d’€ ou 4% du chiffre d’affaires annuel mondial, en cas de violation d’obligations découlant du droit européen. En outre, le projet de loi introduit la possibilité pour la CNIL d’assortir d’une astreinte, l’injonction à un responsable de traitement de se mettre en conformité avec la loi ou le RGPD ou de satisfaire aux demandes présentées par la personne concernée afin d’exercer ces droits (accès, opposition, rectification). Cette astreinte ne peut excéder 100 000 € par jour et ne concerne pas les traitements mis en œuvre par l’État. Ces montants sont donc dissuasifs et incitent les acteurs à prendre désormais au sérieux leur conformité aux règles de la protection des données.
Enfin, la CNIL obtient deux nouveaux pouvoirs juridictionnels. Le premier adapte le droit français aux exigences posées par l’affaire Schrems. La CNIL pourra saisir le Conseil d’État en cas de réclamation contre un responsable de traitement mettant en cause la validité d’une décision d’adéquation couvrant les transferts de données vers un pays tiers. Il s’agit de demander au Conseil d’État d’ordonner la suspension ou la cessation du transfert des données en cause. Ce recours doit aussi permettre au Conseil d’État de saisir le cas échéant la CJUE afin qu’elle apprécie la validité de la décision d’adéquation. Le second permettra à la CNIL de présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du RGPD et de la future loi sur la protection des données personnelles.
B- La limitation des formalités préalables à la mise en œuvre de certains traitements
Le projet prend en compte la consécration du principe de responsabilité (« accountability ») selon lequel il appartient en priorité au responsable de traitement de prendre toutes les mesures nécessaires pour se conformer au droit de la protection des données. Ainsi, l’obligation actuelle de déclaration préalable des traitements est supprimée. Dans le champ d’application du RGPD, le projet de loi limite les autorisations préalables de traitement à deux types de données : les données génétiques et biométriques lorsque leurs traitements sont mis en œuvre par l’État agissant dans l’exercice de ses prérogatives de puissance publique. Dans ces cas l’autorisation nécessaire prend la forme d’un décret en Conseil d’État pris après avis de la CNIL. Enfin, une formalité préalable a été maintenue pour les traitements mettant en œuvre le Numéro d’Inscription au Répertoire (NIR) par des personnes publiques ou privées . Un décret en Conseil d’État pris après avis de la CNIL doit déterminer les catégories de responsables de traitement ainsi que les finalités autorisées pour ce type de traitement. Toutefois, les traitements à finalités de statistiques publiques, de recherche scientifique ou historique, de téléservices ne seront pas soumis à ce futur décret, dès lors que le NIR sera substitué par un code statistique non signifiant par le biais d’une opération cryptographique.
C- L’adaptation de l’encadrement des traitements spécifiques
Le projet de loi pose des règles spécifiques permettant à titre dérogatoire le traitement de certaines données sensibles que sont les données génétiques, biométriques et de santé.
Il clarifie ensuite le traitement des données d’infraction qui sont les données relatives aux condamnations pénales, infractions ou aux mesures de sûreté connexes. Il autorise leur traitement par trois nouvelles catégories de responsables au-delà des autorités publiques. Il s’agit de permettre des traitements pour le contentieux des personnes privées, le développement des services de legaltech, et pour les associations d’aides aux victimes.
Le projet de loi précise également l’encadrement des traitements à des fins archivistiques dans intérêt du public, à des fins de recherche scientifique et historique ou à des fins statistiques. Le traitement des données à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé est aussi soumis à des dispositions particulières.
Enfin, le projet de loi transpose la Directive Police qui s’applique aux traitements mis en œuvre par une autorité publique ou un organisme exerçant des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales. La création de traitements mis en œuvre pour le compte de l’État dans ce cadre, demeure soumise à autorisation par un acte règlementaire. Le projet de loi intègre en droit français deux nouveautés principales. Il consacre un droit à l’information de la personne concernée par les données personnelles traitées et un droit d’accès, de rectification et d’effacement qui s’exerceront directement auprès du responsable de traitement. Dans ce secteur aussi les obligations des responsables de traitement sont renforcées. Des exceptions, et limitations sont néanmoins prévues.
II - Des nouveautés ambivalentes au regard de l’effectivité de la protection des données personnelles à l’échelle de l’Union européenne
Trois dispositions retiendront ici l’attention. Premièrement, le projet de loi cherche à clarifier la loi applicable en cas de contrariété entre les choix opérés par les États membres pour concrétiser le RGPD. Le critère retenu a été celui du lieu de la résidence de la personne concernée. Il a été jugé plus protecteur des personnes physiques. Il s’agit par exemple d’éviter que les résidents français se voient appliquer le droit d’un autre État membre pour l’utilisation de services tels que Google ou Facebook dont le siège européen est en Irlande. La CNIL a fait remarquer avec raison que le choix de ce critère visant à l’application du droit français à des responsables de traitement non établi en France ne manquera pas de soulever des « difficultés opérationnelles » avec les pays qui choisiront une autre approche. La détermination de l’âge à partir duquel un mineur peut utiliser sans l’autorisation parentale des réseaux sociaux opérant le traitement de ses données personnelles pourrait fournir une illustration d’une telle difficulté. En effet, suivant les évolutions sociétales et la loi américaine dite COPPA, une majorité d’États membres s’oriente vers une limite d’âge de 13 ans, alors que la France a choisi l’âge de 16 ans. Il conviendra d’être vigilant sur les modalités pratiques mises en œuvre par les acteurs pour permettre le respect effectif de ce seuil des 16 ans en France.
Deuxièmement, l’encadrement de la question emblématique du profilage laisse à désirer. Comme la CNIL l’a justement souligné, la formulation française continue de reposer sur une interdiction de principe de tels traitements automatisés alors que le règlement évoque un droit individuel à ne pas faire l’objet d’une décision fondée sur un traitement intégralement automatisé. En outre, l’article 14 du projet de loi ouvre largement la possibilité pour l’administration de recourir à des décisions administratives individuelles automatisées. En contrepartie, trois garanties sont apportées. L’individu obtient un droit d’information élargi. Le responsable de traitement doit s’assurer de la maîtrise du traitement algorithmique et de ses évolutions. Enfin, de telles décisions automatisées ne doivent pas porter sur le traitement de données sensibles. L’étude d’impact considère à juste titre que l’important est « de garantir une intervention humaine ab initio dans l’édiction des règles et dans leur implémentation par l’algorithme (…) et a posteriori pour réformer les décisions dans certaines situations particulières ». L’objectif affiché est de moderniser l’administration. L’accent est mis sur les gains de performance, d’efficacité des décisions algorithmiques. La transparence des processus permettrait l’explicabilité des décisions prises. Ces formulations ambivalentes laissent néanmoins rêveur quant à l’étendue réelle du droit individuel à ne pas faire l’objet d’une décision fondée sur un traitement intégralement automatisé.
Troisièmement, il est regrettable que le projet n’ait pas saisi l’opportunité d’introduire une action de groupe pour obtenir la réparation des préjudices subis en cas d’atteinte à la protection des données personnelles. Le projet de loi se contente ici de permettre qu’une personne concernée mandate une association aux fins d’exercer en son nom une réclamation contre une décision de la CNIL, un recours juridictionnel contre une décision de la CNIL ou contre un responsable de traitement ou un sous-traitant pour faire cesser une violation.
Au-delà du fond, la forme contrainte de l’exercice d’adaptation nationale du droit européen de la protection des données questionne.
III - Une œuvre légistique singulière à la lisibilité difficile
Le gouvernement français a fait le choix d’adopter une seule loi pour la concrétisation du RGPD et la transposition de la Directive Police pour adapter la loi fondatrice du 6 janvier 1978 dans des délais contraints. La Directive Police doit être transposée au plus tard le 6 mai et le RGPD au 25 mai 2018.
Aussi, la loi sera adoptée selon la procédure accélérée afin de permettre son entrée en vigueur au 25 mai 2018. L’étude d’impact précise en outre que dix décrets d’application ainsi que trois arrêtés seront nécessaires pour parachever la réalisation française de ce paquet protection des données. Le gouvernement a également opté pour la réécriture de la Loi de 1978 par le biais d’une ordonnance dans le délai de six mois après la promulgation de la loi. Il s’agit « d’apporter les corrections formelles et les adaptations nécessaires à la simplification ainsi qu’à la cohérence de la mise en œuvre » du paquet protection des données personnelles avec la législation française et d’en prévoir l’application à l’outremer.
Formellement, le projet loi ne contient que vingt-quatre articles, mais il comporte de nombreux renvois au RGPD y compris dans le titre qui transpose la directive Police. L’obligation pour le législateur français de ne pas recopier des pans entiers de dispositions du RGPD ayant effet direct rend difficile sa lisibilité. Pour remédier partiellement à ce défaut, le Conseil d’État propose de recourir à des liens hypertextes permettant aux lecteurs de découvrir en cliquant le contenu des dispositions du RGPD cités. Cependant certaines dispositions clés ayant effet direct et ne nécessitant pas de mesures nationales spécifiques n’apparaissent pas dans la loi notamment celles relatives au DPO.
La future loi relative à la protection des données personnelles sera donc difficilement intelligible du fait de cet empilement de textes dont la cohérence n’est pas toujours apparente. Les acteurs auront en outre, très peu de temps pour connaître et assimiler les obligations qui leur sont imposées, sachant encore une fois que les risques encourus en cas de violation sont conséquents. Dans ce contexte, les besoins d’accompagnement sont importants.
Pourtant rares sont encore les personnes qui disposent d’une expertise solide impliquant des compétences transversales exigées par le RGPD. Il y a là un challenge pour la création de nouvelles formations permettant d’acquérir un nouveau métier. C’est l’objet d’un futur DU RGPD associant juristes, informaticiens et managers que l’université Paris-Dauphine s’apprête à ouvrir fin mars 2018.
1 Le règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel dit général de la protection des données (ci-après RGPD) et la directive 2016/680 relative aux traitements mis en œuvre à des fins de prévention et détention des infractions pénales, d’enquêtes et de poursuivre en la matière ou d’exécution de sanctions pénales (ci-après Directive Police).