Publications

Loi Lemaire : Une première étape vers le RGPD

Publié le 8 décembre 2016

Tandis que le Règlement européen Général sur la Protection des Données (RGPD), adopté en avril dernier, doit entrer en vigueur le 25 mai 2018, la France a de son côté publié au journal officiel la loi pour une République numérique (dite « loi Lemaire ») le 8 octobre 2016. Sur certains points, ce texte permet d’anticiper le RGPD, qui a notamment pour but de mettre à jour la législation concernant la protection des données personnelles face à la constante évolution du monde du numérique. Le règlement doit également permettre une meilleure harmonisation des pratiques entre les pays de l’UE en matière de protection des données à caractère personnel.

Si la loi pour une République numérique permet, en partie, de préparer la France au règlement, certaines de leurs dispositions ne semblent pas entièrement concorder. Cependant, dès le 25 mai 2018, toutes les dispositions qui seraient susceptibles d’interprétations contraires n’auront plus lieu d’être. En effet, le règlement européen étant, par définition, directement applicable et obligatoire dans toutes ses dispositions, en cas de différence d’interprétation, celui-ci prévaudra.

De quelle manière la loi Lemaire permet-elle d’anticiper le règlement européen ?

Tout d’abord, dans la lignée du RGPD, la loi Lemaire prévoit une extension de l’obligation d’information de la personne dont les données sont collectées. Selon l’article 32 de la Loi Informatique et Libertés, toute personne concernée doit être informée de l’identité du responsable du traitement, de la finalité des traitements et de ses droits (droit d’opposition, droits d’accès et de rectification). Par ailleurs, lorsque les données sont collectées par voie de formulaire, l’information inclut le caractère facultatif ou obligatoire des champs à remplir ainsi que les conséquences d’un éventuel défaut de réponse.

La loi pour une République numérique y ajoute donc un nouvel alinéa qui prévoit l’obligation pour le responsable du traitement d’informer la personne de l’existence d’un droit à définir des directives relatives au sort de ses données à caractère personnel après sa mort. En d’autres termes, la loi Lemaire prévoit, à l’article 40-1, un droit pour les individus d’organiser leur mort numérique en décidant des conditions de conservation et de communication de leurs données à leur décès. Un décret d’application de ce droit est prévu pour mars 2017.

Toujours concernant les obligations d’information, les responsables de traitement devront désormais préciser la durée de conservation des données, tout comme le prévoit le règlement.

Ensuite, la loi pour une République numérique introduit également un droit à l’oubli numérique spécifique pour les mineurs (avec une procédure accélérée). Cette disposition est aussi prévue dans le règlement européen, mais ce dernier ira plus loin en exigeant le consentement des parents pour procéder au traitement des données.

Concernant les pouvoirs de la Commission Nationale de l’Informatique et des Libertés (CNIL), ils sont accrus par la loi Lemaire. Depuis le 9 octobre 2016, la CNIL peut désormais prononcer des sanctions allant jusqu’à 3 millions d’euros, et ce jusqu’à l’entrée en vigueur du règlement européen. En effet, celui-ci prendra le pas sur la loi et prévoit des sanctions plus importantes : jusqu’à 4% du chiffre d’affaire ou 20 millions d’euros.

On peut également évoquer l’exercice des droits par voie électronique si les données ont été collectées de cette façon. Cela permet d’éviter des abus de la part de certains responsables de traitements qui espèrent décourager les individus en faisant passer les demandes d’accès, de rectification et d’opposition par voie postale. Une abrogation de cet article (43 bis) est prévue à l’arrivée du RGPD puisque celui-ci prévoit au sein de son article 12 que le responsable du traitement doit faciliter l’exercice de leurs droits par les personnes.

Enfin, concernant la portabilité des données, celle-ci est uniquement prévue dans le code de la consommation (à l’article L224-42-1) et non dans la Loi Informatique et Libertés. Ce nouveau droit permettra notamment, dès mars 2017, de récupérer et transférer ses données auprès d’un prestataire vers un autre.

De plus, tel que prévu dans le code de la consommation, ce droit est plus étendu que celui du règlement européen car il ne se limite pas aux données personnelles. Il n’entrera toutefois en vigueur qu’en même temps que le RGPD.

La loi pour une République numérique a donc le mérite de permettre une transition progressive avec le Règlement européen Général sur la Protection des Données, le devançant sur les différents points évoqués plus haut. Toutefois, le RGPD va plus loin que la loi Lemaire et couvre d’autres aspects importants tels que la désignation des DPO, l’obligation de réaliser des études d’impacts, la notification en cas de violation de données, le respect des principes de privacy by design et d’accountability, etc. Ces différents points seront donc ajoutés à la réglementation déjà en vigueur à partir de mai 2018.

Dans le même thème : Le projet de règlement européen : à quoi faut-il s’attendre ?