Un véritable avènement de la législation en matière de protection des données personnelles : voilà à quoi la France a assisté en 2018, avec la loi adoptée le 20 juin dernier. Pourtant, l’encadrement de notre domaine existait bien depuis 1978, mais on constate une réelle prise de conscience, voire la naissance d’une culture de la protection des données.
La nouvelle Loi Informatique et Libertés (LIL), présentée le 13 décembre 2017 dans une démarche législative accélérée, marque le souhait du législateur de suivre rapidement le mouvement lancé par le RGPD lors de son entrée en vigueur en avril 2016. Le Règlement européen représentant à la fois une sécurité pour les personnes concernées et une véritable responsabilité pour les entreprises, il était donc nécessaire de se doter d’un instrument légal actualisé et conforme aux prescriptions européennes.
Dans cet élan de nouveauté, un point non négligeable existe : celui lié à la composition du texte. Certes, la LIL est très logiquement une émanation de nombreuses dispositions réglementaires prévues pour la conformité RGPD. Mais elle intègre également une directive européenne relative aux traitements des données personnelles en matière d’infractions pénales (1). Le risque : un véritable manque de lisibilité dans le texte puisqu’on remarque qu’aucun renvoi effectif aux dispositions du RGPD (élément moteur de la nouvelle Loi) n’est effectué, ce qui aurait été très utile pour la compréhension et le repérage des sources d’inspiration du législateur français.
Autre action produite par le législateur français suite à la consécration du nouveau texte de référence en matière de protection des données : la reconnaissance d’un droit à la protection des données personnelles au sein de la Constitution du 4 octobre 1958 (2). On comprend bien la volonté de protéger la personne concernée en assignant un caractère fondamental à la protection des données. Mais était-ce nécessaire au regard du principe d’applicabilité directe du Règlement Européen au sein du droit français ?
Malgré ces initiatives, le législateur a donc procédé en un suivi des orientations dictées par le RGPD essentiellement, selon deux niveaux : une reprise des prescriptions existantes au sein du RGPD, et un travail d’interprétation à partir des largesses présentes au sein du Règlement.
La force dégagée par le RGPD est manifeste, et la nouvelle LIL a logiquement été entraînée dans cette dynamique, à travers la reprise d’un certain nombre de positions européennes.
La première manifestation de cette évolution législative intervient dans le domaine de la sanction et du contrôle opéré en matière de protection des données. Le RGPD se voulant soucieux de la protection des personnes concernées, il a porté un vent de responsabilisation du côté des entreprises, accompagné de conséquences majeures en cas de manquements (conséquences qui peuvent aller jusqu’à atteindre le chiffre d’affaires mondial d’une entreprise (3)
A ce niveau, la CNIL voit donc ses pouvoirs évoluer. Elle peut désormais effectuer des contrôles dans un périmètre situé au-delà des locaux professionnels (4), mais également les opérer malgré la présence d’un principe de secret professionnel à conserver pour l’entité contrôlée (sauf exceptions) et surtout prendre une sanction qui peut être immédiate (là où l’ancien dispositif prévoyait d’abord l’application d’une mise en demeure, puis d’uns sanction qui intervenait dans un second temps, éventuellement).
Le renfort de ce pouvoir est accentué par la possibilité de prononcer une astreinte pouvant aller jusqu’à 100 000€, puisqu’une telle mesure témoigne d’une indépendance juridictionnelle et donc d’une puissance accrue en termes de sanctions en faveur de la CNIL.
Le législateur a également repris l’idée des données sensibles telle que présentée dans le RGPD. Données de santé, biométriques, génétiques, celles relatives à l’orientation sexuelle ou encore aux convictions politiques et religieuses : autant de données sur lesquelles un principe d’interdiction de traitement est maintenu. Les exceptions sont cependant nombreuses, et le législateur a pris le soin de les souligner minutieusement (5).
L’encadrement des données sensibles va encore plus loin et la logique de précision et d’attention présentée par le RGPD a imprégné la CNIL, comme en témoigne la concrétisation de sa doctrine s’agissant des données biométriques et l’initiative de traiter ces data dans le cadre de l’accès sur le lieu de travail (6).
Le RGPD a aussi conduit le législateur à l’ouverture des possibilités en matière d’exécution des prises de décisions automatisées, permises à partir du moment où l’action est prévue dans le contrat avec la personne concernée, et dès lors que celle-ci a donné son consentement (7). Une avancée majeure au sein de la LIL qui fait le bonheur de nombreuses entreprises exerçant dans le secteur du digital et dont le cœur d’activité repose sur le profilage ou encore l’analyse comportementale.
Dans le même thème : 25 mai 2018 : où en sommes-nous aujourd’hui ?
Les largesses du RGPD ont par ailleurs conduit le législateur français à devoir prendre position sur nombre de thématiques fixées de manière générique au niveau européen.
En témoigne la question des données liées aux infractions et condamnations pénales. La LIL se positionne dans l’opportunité d’élargir les catégories d’acteurs pouvant traiter ce type de données. Les personnes physiques ou morales peuvent recourir à ces traitements en vue d’assurer leur défense notamment (8).
Le Conseil constitutionnel est même allé plus loin en supprimant la réalisation de ces traitements sous le contrôle de l’autorité publique venant ainsi consacrer l’exploitation de la marge d’appréciation laissée par le RGPD. Attention toutefois à un risque : la culture de la protection des données n’est encore que peu présente dans les esprits, et il faudra du temps avant que les entreprises et les particuliers prennent conscience des dangers et des impacts qu’ont les traitements de données personnelles.
La LIL souligne également l’existence d’interprétations et de prises de positions sur des questions où le RGPD laisse explicitement le soin aux États membres de fixer des conditions, des seuils, des exceptions.
Tel est le cas de la disparition des formalités préalables. Socle fondamental du renouveau en matière de données personnelles, le législateur français a cependant pris le parti de fixer des exceptions, en maintenant un principe d’autorisation pour certaines catégories de données, voire parfois des procédures administratives spécifiques pour des traitements abritant certaines données de santés ou encore des données concernant la sécurité publique par exemple. (9).
La question du consentement des mineurs a également été abordée dans la loi de la même manière, puisque « Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans ». (10). Une marge d’interprétation dont s’est là-encore saisi le législateur pour fixer l’âge de 15 ans comme seuil en dessous duquel la personne concernée est considérée comme mineur (11). Mais surtout, la LIL requiert un double consentement conjointement donné par le mineur et par les titulaires de l’autorité parentale.
Une prise de position qui peut susciter des difficultés, notamment dans l’hypothèse où l’entreprise traite des données de personnes concernées situées en France, mais pas uniquement. Une gestion rigoureuse des consentements est alors espérée au sein des entreprises, mais celle-ci sera source de difficultés pratiques.
La LIL s’est par ailleurs imprégnée de l’esprit du RGPD sur la question de l’action collective, en définissant cependant des contours spécifiques en droit français. Sur le principe, une personne concernée peut mandater une association ou toute autre organisation afin de porter sa réclamation et l’ensemble de ses droits devant la CNIL. La prise de position opposée au RGPD se situe dans la portée de cette action : le législateur a entériné la possibilité d’engager la responsabilité de l’acteur qui méconnaît les droits de la personne concernée, et d’obtenir l’indemnisation du préjudice subi quand les faits générateurs ont été commis après l’entrée en application du RGPD, et donc dès le 25 mai 2018.
Malgré une intégration du partielle du RGPD en raison des possibilités offertes par le texte européen lui-même, les principales thématiques de la protection des données ont été entérinées par le législateur français.
L’ordonnance complète de réécriture de la LIL viendra probablement satisfaire un objectif de clarté et de lisibilité pour une loi ayant vocation à être connue et comprise de tous, professionnels comme particuliers.
Nous vous invitons également à découvrir cet article : MDM, outil indispensable de la conformité RGPD
1} Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales
2} Article 34 de la Consitution du 4 octobre 1958
3} Article 83 du RGPD
4} Articles 45 et suivants de la LIL
5}Article 8, II de la LIL
6} https://www.cnil.fr/fr/biometrie-sur-le-lieu-de-travail-la-cnil-lance-une-consultation-publique-sur-le-futur-reglement-type
7} Article 10 de la LIL
8} Article 9 de la LIL
9} Article 22 de la LIL
10} Article 8 RGPD
11} Article 7-1 de la LIL
12} Article 82 lil