Le projet de loi relatif à la protection des données personnelles, présenté le 13 décembre 2017, vise à intégrer dans notre droit français le Règlement 2016/679 relatif à la protection des données personnelles (RGDP) ainsi que la Directive 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales.
Le législateur a choisi de conserver la loi Informatique et Libertés de 1978 et de la modifier pour d’une part y intégrer les spécificités du RGDP, et d’autre part prendre position sur les différentes marges de manœuvres laissées par le RGDP aux Etats-membres.
La CNIL a émis un avis public sur ce projet, faisant part de quelques réserves d’interprétation ou de conformité au RGDP. La CNIL déplore également l’empilement de textes suscités par ce projet de loi qui procède par renvoi au Règlement et à une ordonnance ultérieure pour la réécriture complète de la loi.
En l’état, le projet de loi vient apporter des précisions notamment sur les points suivants :
- Pouvoirs de la CNIL, en confirmant la mission d’accompagnement de la CNIL auprès des organismes traitant des données, ainsi que son pouvoir d’établir des référentiels et recommandations destinés à guider les organismes dans leur processus de conformité,
- Coopération de la CNIL avec les autres autorités et avec le CEPD, notamment concernant la réalisation d’opérations de contrôle conjointes,
- Mesures correctrices pouvant être prises par la CNIL en vas de violation de la loi ou du Règlement (sanctions, mise en demeure),
- Application de la loi nationale dans les hypothèses de marge de manœuvre laissées par le règlement lorsque la personne concernée réside en France,
- Simplification des formalités préalables (remplacées par des études d’impact), sauf pour certains traitements portant sur des données sensibles en particulier données de santé, qui ne pourront être mis en œuvre qu’après une déclaration de conformité à un référentiel établi par la CNIL, ou à défaut, après autorisation de la CNIL,
- Conditions de traitement de données relatives aux condamnations pénales, infractions et mesures de sûreté connexes, en prévoyant notamment la possibilité pour les personnes physiques et les personnes morales de traiter ces données aux fins de leur permettre de préparer ou d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci, et pour faire exécuter la décision rendue,
- Consentement du mineur: à partir de 15 ans, le mineur peut consentir seul à un traitement de données concernant une offre directe de service de la société de l’information. En dessous de 15 ans, le consentement est donné conjointement par le mineur et le ou les titulaires de la responsabilité parentale,
- Action de groupe fondée sur les droits des personnes: les personnes pourront notamment demander la cession du manquement à la loi, mais également la réparation du préjudice matériel et moral qui en résulte.
Le projet est actuellement en lecture au Sénat (l’évolution est disponible sur le site de l’Assemblée Nationale, ici) et devrait – en principe – être prêt avant l’entrée en application de la directive et du RGDP.
Les commentaires sont fermés.