Protection des données personnelles : Que contient la Loi "CNIL 3" ?

La mise en conformité du droit français avec le RGPD devra encore attendre fin septembre 2018 pour être pleinement aboutie

La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles adapte la loi du 6 janvier 1978 (relative à l’informatique, aux fichiers et aux libertés) au « Paquet européen de protection des données », entré en vigueur le 25 mai 2018.

Le « paquet européen de protection des données » comprend le règlement général sur la protection des données (RGPD), directement applicable dans tous les pays européens au 25 mai 2018, ainsi qu’une directive sur les fichiers en matière pénale, dite directive « police ».

Promulguée le 20 juin 2018, la loi « CNIL 3 » modifie la loi « Informatique et libertés » de 1978 pour la mettre en conformité avec le RGPD (missions et pouvoirs de la CNIL, élargissement des données sensibles) ou exploiter les marges de manœuvre qu’il permet (majorité numérique, etc.).

Compétences élargies de la CNIL

Ce nouveau texte définit le champ des missions de la Commission nationale de l’Informatique et des Libertés (CNIL) qui devient l’autorité nationale de contrôle pour l’application du RGPD.

En complément des missions qu’elle exerce déjà, la CNIL est désormais chargée :

d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ;
d’encourager l’élaboration de codes de conduite par les acteurs traitant des données ;
de produire et de publier des règlements types afin d’assurer la sécurité des systèmes de traitement et de régir les traitements de données biométriques, génétiques et de santé ;
de certifier des personnes, des produits, des systèmes de données ou des procédures.

Ses pouvoirs de sanction sont adaptés et étendus. De nouvelles sanctions, comme le prononcé d’une astreinte ou le retrait d’une certification ou d’un agrément, sont prévues en cas de violation de la réglementation. En outre, le montant des amendes administratives est fortement augmenté et les sanctions encourues pourront atteindre jusqu’à 20 millions d’euros ou 4% du chiffre annuel mondial consolidé.

Données sensibles

Conformément au RGPD, la loi étend le champ des données sensibles ne pouvant, par principe, pas faire l’objet d’un traitement (données génétiques et biométriques, données relatives à l’orientation sexuelle d’une personne). Le RGPD prévoit toutefois des dérogations à cette interdiction de principe (consentement de la personne, en matière de sécurité sociale, etc.) auxquelles la loi française ajoute de nouveaux cas. Ainsi, sont notamment permis les traitements de données biométriques strictement nécessaires aux contrôles d’accès sur les lieux de travail, aux ordinateurs et aux applications utilisés au travail.

Marges de manœuvre permises par le RGPD

Bien que la quasi-totalité des formalités préalables (autorisations ou déclarations) aient été supprimées, le législateur français a décidé d’en conserver certaines (traitements qui intéressent la sûreté de l’Etat, la défense, la sécurité publique, traitements de données de santé justifiés par une finalité d’intérêt public, traitements comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, etc.).

Au-delà, plusieurs dispositions de la loi sont consacrées à des catégories particulières de données, notamment les données de santé qui disposent d’un régime spécifique.

En ce qui concerne les mineurs, la loi française a décidé de fixer l’âge du consentement par défaut (« majorité numérique ») à 15 ans. En dessous, le consentement des titulaires de l’autorité parentale sera nécessaire pour tout traitement de données personnelles.

En outre, la loi autorise plus largement la possibilité pour l’administration de recourir à des décisions individuelles automatisées. Les décisions fondées exclusivement sur un algorithme ne sont plus interdites. En contrepartie, de nouvelles garanties sont prévues pour les administrés (droit à recours avec une intervention humaine a posteriori, interdiction d’utiliser des données sensibles, etc.).

Enfin, les actions de groupe, déjà autorisées depuis fin 2016 pour faire cesser en justice un manquement par un responsable de traitement ou sous-traitant, sont étendues à la réparation des préjudices matériels et moraux subis en cas de violation des données personnelles.

Transposition de la directive « police »

Par ailleurs, la loi du 20 juin 2018 transpose la directive du 27 avril 2016 qui harmonise le régime des traitements à finalité pénale (fichiers de police et de justice comme le fichier national des empreintes génétiques, à l’exclusion des fichiers de renseignement).

Et après ?

La mise en conformité du droit français avec le RGPD n’est pas terminée. En effet, la loi du 20 juin 2018 n’a effectué que des modifications « a minima », et a renvoyé la réécriture d’ensemble de la loi de 1978 à une ordonnance ultérieure. Cette ordonnance, qui serait publiée en septembre 2018, devrait aboutir à une réécriture globale de la loi informatique et libertés et permettre de corriger le défaut de lisibilité de l’état du droit résultant de la présente loi.

Pour aller plus loin :

Protection des données personnelles : que contient la loi du 20 juin 2018 ?, Direction de l’information légale et administrative, 21 juin 2018

– 28 juin 2018 –

Suivez les évolutions réglementaires liées à la protection des données personnelles avec notre outil de veille NUMERIQUE REGLEMENTEO®, vérifiez la conformité de vos traitements de données via notre outil d’audit de conformité CONFORMITEO®, et réalisez vos analyses d’impact pour la protection des données avec l’outil d’analyse des risques EVALUTEO DPIA®.