Faut-il le rappeler, le Règlement européen sur la protection des données (ou « RGPD ») entrera en vigueur le 25 mai prochain. C’est dans ce contexte que le 13 décembre dernier, le gouvernement Français a présenté en Conseil des ministre son nouveau projet de loi relatif à la protection des données personnelles. Celui-ci a pour objectif de mettre en conformité le droit français avec le Règlement général sur la protection des données » et la directive 2016/680 du 27 avril 2016.
Le RGPD est d’application directe, cependant, le gouvernement a choisi de remanier plusieurs articles de la loi informatique et liberté n° 78-17 du 6 janvier 1978 afin de ne pas abroger la totalité du texte.
Parmi ces remaniements, figure notamment le renforcement du pouvoir d’enquête et de sanction de la CNIL. Les sanctions administratives pourront ainsi atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé. Le système de contrôle a priori avec des déclarations et des autorisations préalables est remplacé par un contrôle a posteriori. Enfin, le projet de loi fixe à 16 ans la limite d’âge en dessous de laquelle le consentement de l’autorité parentale sera nécessaire pour que les données personnelles soient traitées, sans qu’aucun mécanisme permettant de vérifier l’âge des internautes ne soit évoqué dans le projet de loi, ce qui pose des questions sur son application.
Les dispositions contraires au règlement ont été supprimées ou mises en conformités lorsque le règlement laissait une marge de manœuvre aux Etats en ce sens. C’est le cas par exemple du pouvoir de donner des astreintes accordé à la CNIL qui n’est pas prévue par le GDPR.
Le Gouvernement a engagé une procédure accélérée pour l’adoption de ce projet de loi et une ordonnance d’application devra être prise dans les 6 mois suivant la promulgation de la loi et ratifiée dans les 6 mois de sa publication, soit le 25 mai 2019 au plus tard, afin d’améliorer la cohérence et la compréhension du texte.
Dans un avis publié le 11 décembre 2017, le Conseil d’État a déclaré que « Si elle est économe, la technique mise en œuvre aboutit cependant à un résultat très insatisfaisant en termes de lisibilité du droit positif ». (Conseil d’Etat, avis, 11 déc. 2017, projet de loi d’adaptation au droit de l’Union européenne de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés).
La FEVAD réunira prochainement ses membres pour une réunion autour de ces nouvelles dispositions. La Commission juridique de la Fevad s’apprête à se réunir pour une session spéciale RGPD avec Me DROUARD Cabinet KL Gates le 9 janvier 2018 puis le 13 mars prochain.
