Le rapport du 22 février 2017 de l’Assemblée nationale (1) prépare l’application du règlement européen en France.
Les nécessaires adaptations de la loi française
C’est avant tout au niveau des sanctions et des pouvoirs accordés à la Cnil que le législateur devra approfondir les modifications déjà amorcées par la loi pour une République numérique.
En effet, si la loi Lemaire avait déjà augmenté le plafond maximal des sanctions pouvant être prononcées par la Cnil (2), elle prévoit surtout qu’à compter du 25 mai 2018, les sanctions entrant dans le champ du règlement européen 2016/679 (RGPD) seront celles prévues par ce dernier. La Cnil pourra donc prononcer des amendes pour un montant maximal de 20 millions d’euros ou 4% du chiffre d’affaires mondial (article 83) (3).
De plus, le RGPD ne limite pas le pouvoir des autorités de contrôle à des sanctions administratives (article 84), mais vise également une série de mesures correctives. Le législateur devra donc déterminer si ces mesures seront prononcées par l’autorité de contrôle ou les juridictions nationales.
Enfin, le règlement souligne, à de nombreuses reprises, l’importance de la coopération des différentes autorités de contrôle, notamment en matière de sanctions. Il prévoit donc de nombreux mécanismes de coopération et de décision. Néanmoins, conscient de la diversité des législations nationales en matière de données personnelles, il ne prévoit aucune disposition procédurale. Ces règles relèveront donc de la seule compétence des Etats membres, qui pourront s’appuyer sur les lignes directrices adoptées par le G29.
De nombreux éléments encore indéfinis
Les Rapporteurs considèrent, tout d’abord, que les avis du G29 seront indispensables pour éviter toute incertitude juridique concernant la définition de certaines notions. C’est notamment le cas de la notion de « risque élevé » qui oblige un responsable de traitement à consulter l’autorité de contrôle avant d’implémenter un traitement de données. De même, les cas où un responsable devra informer les personnes concernées, en cas de violation de données représentant un risque élevé pour leur vie privée, devront être précisés.
Ensuite, il appartiendra aux Etats membres de maintenir ou d’adopter des règles spécifiques pour certains traitements de données. Ainsi, se posera la question de la compatibilité du droit national avec le RGPD concernant les traitements des données de santé, biométriques et génétiques, relatives aux infractions, condamnations et aux mesures de sûreté, au numéro d’identification national et concernant les traitements aux fins d’expression journalistique, artistique et littéraire. Mis à part les données de santé, l’Assemblée nationale considère que les règles actuelles devraient pouvoir être maintenues.
Concernant les données des consommateurs, la loi pour une République numérique prévoit un droit à la portabilité de l’ensemble des données de la personne concernée. Pour les données personnelles, la loi renvoie au régime prévu à l’article 20 du règlement. L’Assemblée nationale considère que la mise en œuvre de ces deux régimes risque de poser des difficultés d’interprétation et demande qu’ils soient clarifiés et mieux articulés dans le cadre d’une future loi.
Enfin, les Rapporteurs se sont posé la question de l’articulation des dispositions nationales et du RGPD à propos des dispositions relatives aux enfants. En effet, concernant le droit à l’effacement accordé aux personnes mineures, le règlement considère que ce droit peut être exercé par une personne entre 13 et 16 ans alors que la loi pour une République numérique fixe la limite d’âge à 18 ans. Néanmoins, le ministère de la Justice considère, en s’appuyant sur l’article 17 du règlement, qu’il serait possible de fixer une condition supplémentaire par rapport au régime prévu. Par conséquent, la limite d’âge de 18 ans devrait être maintenue.
Lexing Alain Bensoussan Avocats
(1) Mme Le Dain et M. Gosselin, Rapport d’information sur « les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française », Doc Ass. nat. n° 4544 du 22-2-2017.
(2) Cnil, « Ce que change la loi pour une République numérique pour la protection des données personnelles« , article du 17-11-2016
(3) Règlement UE 2016/679 du 27-4-2016, Règlement général sur la protection des données, chap. 8, art. 83.