logo WK-RH

Le portail dédié aux acteurs du social, des ressources humaines et du management.

Accueil
Actualités RH
Protection des données personnelles : le projet de loi définitivement voté

xx Réglementation xx


Actualités

Protection des données personnelles : le projet de loi définitivement voté

Le 14 mai, le Parlement a adopté définitivement, le projet de loi relatif à la protection des données personnelles. Le 16, le Conseil constitutionnel a été saisi par des sénateurs. Il dispose à compter de cette date d’un délai d’un mois pour statuer. Le projet de loi adapte le droit français au RGPD entré en vigueur le 25 mai dernier.Projet de loi relatif à la protection des données personnelles

12/06/2018 Social Pratique, n°724

Objectif du projet de loi

Le projet de loi adapte la loi dite « Informatique et libertés » [L. nº 78-17, 6 janv. 1978] au nouveau cadre juridique européen : le règlement général de protection des données (RGPD) entré en vigueur le 25 mai 2018 [Règl. UE nº 2016/679] ainsi que la directive sur les traitements de données entrée en vigueur le 28 avril 2016 [Dir. nº 2016/680, 27 avr. 2016]. La loi « informatique et libertés » n’est pas abrogée mais modifiée. Elle fera à l’avenir l’objet d’une seconde série de modifications par ordonnances (voir encadré p. 8).

Contrôle a priori remplacé par le contrôle a posteriori

→ En principe. La Commission nationale de l’informatique et des libertés (Cnil) n’a plus vocation à délivrer des autorisations ni à recevoir de déclarations pour la plupart des traitements de données [L. nº 78-17, 6 janv. 1978, art. 11, 2º mod. et art. 23 à 25 abrog.].

→ En cas de risque élevé pour les droits et libertés. Lorsqu’un traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement a l’obligation d’effectuer une analyse de l’impact des opérations sur la protection des données à caractère personnel [Règl. UE nº 2016/679, 27 avr. 2016 (RGPD), art. 35]. En cas de risque élevé, il doit préalablement consulter la Cnil [Règl. UE nº 2016/679, 27 avr. 2016 (RGPD), art. 36].

La Cnil peut établir une liste des traitements susceptibles de créer un risque élevé. Le responsable des données doit la consulter au préalable s’agissant des risques identifiés [L. nº 78-17, 6 janv. 1978, art. 11, 2º mod.].

→ Données les plus sensibles. Le projet de loi maintient certaines formalités préalables pour les traitements des données les plus sensibles : les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, les données génétiques, ou encore pour les traitements utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) [L. nº 78-17, 6 janv. 1978, art. 22 et 27 mod.]. Les traitements utilisant des données de santé font aussi l’objet d’un régime protecteur et unifié [L. nº 78-17, 6 janv. 1978, art. 53 à 65 mod.].

Régulation et accompagnement

Information

Le projet de loi réaffirme que la Cnil peut établir et publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données. Ces documents peuvent servir à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants notamment s’agissant des données les plus sensibles, tout en prenant en compte la situation des personnes dépourvues de compétences numériques. La Cnil est amenée à encourager l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants [L. nº 78-17, 6 janv. 1978, art. 11, 2º mod.].

La Cnil peut, en outre, apporter des informations adaptées aux petites et moyennes entreprises (PME).

Certification

Le projet de loi permet à la Cnil de certifier des personnes, des produits, des systèmes de données ou des procédures comme conformes au RGPD et à la loi. Elle pourra alors prendre en considération, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises et PME.

Pour ce faire, elle pourra agréer des organismes certificateurs, sur la base, de leur accréditation par l’organisme national d’accréditation (Cofrac) ou, décider conjointement avec le Cofrac que ce dernier procède à leur agrément. Un décret doit en préciser les conditions [L. nº 78-17, 6 janv. 1978, art. 11, 2º mod.].

Spécificités en matière de données sensibles

En matière de santé, la Cnil doit homologuer et publier des méthodologies de référence destinées à favoriser la conformité des traitements de données [L. nº 78-17, 6 janv. 1978, art. 11, 2º mod.].

En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établira et publiera des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. À ce titre, sauf pour les traitements mis en œuvre pour le compte de l’État, elle pourra prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques, de santé, ainsi et pour celles relatives aux infractions pénales [L. nº 78-17, 6 janv. 1978, art. 11, 2º mod.].

Interdiction de certains traitements

L’interdiction du traitement de certaines données est élargie. Elle concerne dorénavant :

– la prétendue origine raciale ou ethnique ;

– les opinions politiques, les convictions religieuses ou philosophiques ;

– l’appartenance syndicale ;

– les données génétiques et biométriques afin d’identifier une personne physique ;

– les données concernant la santé ;

– les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique [L. nº 78-17, 6 janv. 1978, art. 8, I mod.].

Parallèlement, la liste des exceptions à ce principe s’allonge. N’y sont pas soumis :

– les données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;

– la réutilisation des informations publiques figurant dans les jugements et décisions, sous réserve que ces traitements n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées ;

– les traitements nécessaires à la recherche publique, après avis motivé et publié de la Cnil [L. nº 78-17, 6 janv. 1978, art. 8 et 9, mod.] ;

– les données archivistiques [L. nº 78-17, 6 janv. 1978, art. 36 mod.].

Pouvoirs renforcés de la Cnil

RGPD

La Cnil est désignée comme l’autorité de contrôle nationale au sens du RGPD. Ses attributions sont redéfinies pour comprendre celles conférées par le RGPD [, 1º mod. et 15 mod.].

La formation restreinte de la Cnil pourra ainsi prendre les mesures et prononcer les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du RGPD et de la loi [L. nº 78-17, 6 janv. 1978, art. 17 mod.].

Contrôles

Les membres de la Cnil ainsi que les agents de ses services habilités ont accès aux traitements de données à caractère personnel qu’ils soient ou non à usage professionnel. Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel (de l’avocat, du journaliste ou du médecin) [L. nº 78-17, 6 janv. 1978, art. 44, II et III mod.].

Les membres et agents de la Cnil peuvent, à la demande du président de la Cnil, être assistés par des experts [L. nº 78-17, 6 janv. 1978, art. 44, III mod.].

À noter également que pour le contrôle de services de communication au public en ligne, ces mêmes membres et agents peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité d’emprunt. Leurs actes ne peuvent toutefois constituer une incitation à commettre une infraction sinon ils sont considérés comme nuls.

À NOTER

Un décret en Conseil d’État, pris après avis de la Cnil, doit préciser les conditions dans lesquelles ces membres et agents procèdent dans ces cas aux constatations.

Sanctions

→ Traitements susceptibles de violer les RGPD ou la loi [L. nº 78-17, 6 janv. 1978, art. 45 nouv.]. Le président de la Cnil peut avertir un responsable de traitement ou son sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du RGPD ou de la loi.

Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les dispositions du RGPD ou du projet de loi, le président de la Cnil peut, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, prononcer à son égard et dans un certain délai (24 heures en cas d’extrême urgence), une mise en demeure :

– de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ;

– de mettre les opérations de traitement en conformité avec les dispositions applicables ;

– à l’exception des traitements qui intéressent la sûreté de l’État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;

– de rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données. Dans ce cas, le président peut mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu’il a prises.

À NOTER

La mise en demeure peut être rendue publique.

Par la suite, après lui avoir adressé l’avertissement ou, le cas échéant, en complément d’une mise en demeure, le président de la Cnil peut également saisir la formation restreinte en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :

– un rappel à l’ordre ;

– une injonction de mettre en conformité le traitement avec les obligations du RGPD ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;

– à l’exception des traitements qui intéressent la sûreté de l’État ou la défense ou de ceux relevant de la détection des infractions pénales, lorsqu’ils sont mis en œuvre pour le compte de l’État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée en application du RGPD ou de la loi ;

– le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;

– la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

– la suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;

– une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu). Pour les infractions au règlement les plus graves ou en cas de non-respect d’une injonction émise par la Cnil, ces plafonds sont portés respectivement à 20 millions d’euros et 4 % du chiffre d’affaires [Règl. UE nº 2016/679, 27 avr. 2016 (RGPD), art. 83, 5 et 6].

→ Non-respect du RGPD ou de la loi entraînant une violation des droits et libertés [L. nº 78-17, 6 janv. 1978, art. 46 et 47 nouv.]. Si le président de la Cnil considère qu’il est urgent d’intervenir, il saisit la formation restreinte, qui peut, dans le cadre d’une procédure d’urgence contradictoire, adopter l’une des mesures suivantes :

– l’interruption provisoire de la mise en œuvre du traitement, y compris d’un transfert de données hors de l’Union européenne, pour une durée maximale de trois mois, si le traitement n’intéresse ni la sûreté de l’État ou la défense ou s’il relève de la prévention et de la détection des infractions pénales lorsqu’il est mis en œuvre pour le compte de l’État ;

– la limitation du traitement de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n’intéresse pas les mêmes domaines visés ci-dessus ;

– la suspension provisoire de la certification délivrée au responsable de traitement ou à son sous-traitant ;

– la suspension provisoire de l’agrément délivré à un organisme de certification ou un organisme chargé du respect d’un code de conduite ;

– la suspension provisoire de l’autorisation du traitement de données de santé ;

– l’injonction de mettre en conformité le traitement avec le RGPD ou le projet de loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans le cas où le traitement est mis en œuvre par l’État, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;

– un rappel à l’ordre ;

– l’information du Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause intéresse la sûreté de l’État ou la défense ou relève de la prévention et de la détection des infractions pénales lorsqu’il est mis en œuvre pour le compte de l’État. Le Premier ministre fait alors connaître à la formation restreinte les suites qu’il a données à cette information au plus tard 15 jours après l’avoir reçue.

Les modalités de cette procédure contradictoire d’urgence doivent être définies par décret.

À NOTER

En cas de circonstances exceptionnelles [Règl. UE nº 2016/679, 27 avr. 2016 (RGPD), art. 66, 1], lorsque la formation restreinte adopte l’une des quatre premières mesures provisoires précitées, elle informe sans délai les autres autorités de contrôle concernées (autorités de contrôle telles que la Cnil au sein de l’Union européenne), le comité européen de la protection des données et la Commission européenne de la teneur des mesures prises et de leurs motifs. Lorsque la formation restreinte a pris de telles mesures et qu’elle estime que des mesures définitives doivent être prises, elle peut demander un avis d’urgence ou une décision contraignante d’urgence au comité européen de la protection des données en motivant sa demande d’avis ou de décision [Règl. UE nº 2016/679, 27 avr. 2016 (RGPD), art. 66, 2]. Pour les traitements relevant du RGPD, lorsqu’une autorité de contrôle compétente n’a pas pris de mesure appropriée dans une situation où il est urgent d’intervenir afin de protéger les droits et libertés des personnes concernées, la formation restreinte, saisie par le président de la Cnil, peut demander au comité européen de la protection des données un avis d’urgence ou une décision contraignante d’urgence [Règl. UE nº 2016/679, 27 avr. 2016 (RGPD), art. 66, 3 et 4].

En cas d’atteinte grave et immédiate aux droits et libertés, le président de la Cnil peut en outre demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés.

→ Lorsqu’un organisme de certification ou un organisme chargé du respect d’un code de conduite a manqué à ses obligations ou n’a pas respecté le RGPD ou la loi [L. nº 78-17, 6 janv. 1978, art. 48 nouv.]. Le président de la Cnil peut, le cas échéant après mise en demeure, saisir la formation restreinte, qui peut prononcer, dans les mêmes conditions que celles présentées plus haut, le retrait de l’agrément qui a été délivré à cet organisme.

→ Procédure de sanction. Les sanctions adoptées par la formation restreinte de la Cnil sont prononcées sur la base d’un rapport établi par l’un des membres de la Cnil. Ce rapport est notifié au responsable de traitement ou à son sous-traitant, qui peut déposer des observations et se faire représenter ou assister.

La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information.

→ Publicité des sanctions. La formation restreinte peut rendre publiques les mesures qu’elle prend, ordonner leur insertion dans des publications, journaux et supports qu’elle désigne, aux frais des personnes sanctionnées, et peut ordonner que ce responsable ou ce sous-traitant informe individuellement, à ses frais, chacune des personnes concernées de la violation relevée ainsi que, le cas échéant, de la mesure prononcée.

À NOTER

Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l’amende administrative s’impute sur l’amende pénale qu’il prononce.

→ Intervention devant les juridictions. La Cnil peut aussi présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application de la loi, des dispositions communautaires, et des engagements internationaux de la France [L. nº 78-17, 6 janv. 1978, art. 11, 1º mod. et 5º nouv.].

Coopération

La Cnil met en œuvre des procédures de coopération et d’assistance mutuelle avec les autorités de contrôle des autres États membres de l’Union européenne et réalise avec ces autorités des opérations conjointes [L. nº 78-17, 6 janv. 1978, art. 49 à 49-5 nouv.].

REMARQUE

Quatre cas de figure sont présentés dans le projet de loi :

– la Cnil agit comme autorité de contrôle ou autorité concernée : elle traite une réclamation ou une éventuelle violation des dispositions du RGPD affectant par ailleurs d’autres Etats membres ;

– la Cnil coordonne une opération conjointe sur le territoire français : elle habilite les agents des autres autorités de contrôle à agir aux côtés de ses agents propres, avec tout ou partie des pouvoirs de ses agents ;

– la Cnil se joint à une opération conjointe décidée par une autre autorité : Le président de la Cnil se prononce sur le principe et les conditions de la participation de la Cnil. Il désigne les membres et agents habilités et en informe l’autorité décisionnaire ;

– la Cnil est soumise à une obligation d’assistance mutuelle en matière pénale.

Par ailleurs, la Cnil peut aussi coopérer avec une instance d’un État non membre de l’Union européenne pour procéder à des vérifications [L. nº 78-17, 6 janv. 1978, art. 49-1 à 49-5].

Action de groupe

L’action de groupe des associations et organisations syndicales est étendue aux manquements aux dispositions du RGPD. Les demandeurs devront informer la Cnil de leur action [L. nº 78-17, 6 janv. 1978, art. 43 ter, mod.]. Celle-ci pourra demander au Conseil d’État d’ordonner la suspension du transfert de données, le cas échéant sous astreinte [L. nº 78-17, 6 janv. 1978, art. 43 quinquies nouv.].

Cette action de groupe peut être exercée pour faire cesser le manquement ou engager la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis [L. nº 78-17, 6 janv. 1978, art. 43 ter, III nouv.].

ATTENTION

La responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 24 mai 2018.

Droit des personnes concernées

Lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement (par exemple l’employeur) doit pouvoir démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final. Peut en particulier faire obstacle à ce consentement le fait de restreindre sans motif légitime d’ordre technique ou de sécurité les possibilités de choix de l’utilisateur final, notamment lors de la configuration initiale du terminal, en matière de services de communication au public en ligne et aux applications accessibles sur un terminal, présentant des offres et des conditions d’utilisation de nature équivalente selon des niveaux différenciés de protection des données personnelles [Petite loi, art. 28].

À NOTER

Est spécifié qu’un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de 15 ans. Lorsque le mineur est âgé de moins de 15 ans, son consentement doit s’accompagner de celui du ou des titulaires de l’autorité parentale. Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne [L. nº 78-17, 6 janv. 1978, art. 7-1 nouv. et 32 mod.].

Application directe

Le règlement européen général sur la protection des données (RGPD) [] est entré en vigueur le 25 mai. Il est d’application directe [TFUE, art. 288]. Cet effet direct est complet [CJUE, 14 déc. 1971, Aff. 43-71 « Politi » ], c’est-à-dire qu’il a à la fois un effet direct horizontal (jouant dans les relations entre les particuliers) et un effet direct vertical (jouant dans les relations entre les particuliers et le pays). Le projet de loi présenté ici n’a donc pas vocation à transposer le RGPD.

Évolution des notions

Le champ de la protection des données personnelles est redéfini. Il est désormais précisé que les traitements de données qui ne sont que partiellement automatisés rentrent dans ce cadre juridique.

En outre, un fichier de données à caractère personnel est à présent défini comme tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Nouvelle ordonnance

Selon le projet de loi, le gouvernement prendrait, après avis de la Cnil, dans les six mois suivant la promulgation de la loi une ordonnance.

Elle porterait sur :

– la réécriture de l’ensemble de la loi « informatique et libertés » afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre du droit communautaire ;

– la mise en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel, modifications rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, remédier aux éventuelles erreurs et omissions résultant du projet de loi et abroger les dispositions devenues sans objet ;

– l’adaptation et l’extension à l’outre-mer et de territoires relevant de la compétence de l’État.

« Pour signaler un contenu indésirable ou illicite, nous vous invitons à nous contacter à l'adresse suivante : contact@wk-rh.fr. »