Protection des données personnelles : ce qui a changé !

Adopté en lecture définitive le 14 mai dernier, le projet de loi sur la protection des données personnelles a pour objet la mise en conformité du droit national avec le « paquet européen de protection des données » du 27 avril 2016. Outre une application européenne uniforme et sécurisée en matière de protection des données, ces nouvelles règles juridiques permettent de simplifier la réglementation applicable aux acteurs économiques, tout en maintenant un haut niveau de protection pour les citoyens. Explications.

Les données personnelles sont définies comme  » toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » (article 2 de la loi informatique et liberté de 1978).

Leur protection constitue l’une des dimensions du droit au respect de la vie privée et est consacrée comme un droit fondamental à part entière à l’article 8 de la Charte des droits fondamentaux de l’Union européenne.

Compte tenu des évolutions technologiques et de l’augmentation exponentielle des échanges des données entre les entreprises en France et au niveau mondial  de nouveaux enjeux pour la protection des données personnelles sont apparus. Un environnement juridique européen sécurisé était donc nécessaire.

C’est  l’ambition du « paquet européen de protection des données », adopté par le Parlement européen et le Conseil le 27 avril 2016, que la loi a transposé et qui est composé :

– du règlement (UE) 2016/679 général sur la protection des données (RGPD), relatif à la protection des personnes physiques à l’égard des données à caractère personnel ;

– de la directive (UE) 2016/680 relative aux traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuites en la matière ou d’exécution de sanctions pénales.

La transposition de ce nouveau cadre juridique européen permet de créer un cadre unifié et protecteur pour les données personnelles des européens, applicable aux acteurs publics et à l’ensemble des entreprises ainsi qu’à leurs sous-traitants, quelle que soit leur implantation en Europe. Cette transposition a nécessité la modification de la loi 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ainsi, nous passons d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.

La réduction des formalités préalables a pour contrepartie le renforcement des pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL) qui pourra notamment prononcer des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaire annuel mondial consolidé.

Les principales mesures :

• Renforcement des missions de la CNIL  qui pourra notamment publier des lignes directrices afin d’accompagner au mieux les acteurs responsables des traitements des données.

• Possibilité pour les commissions permanentes de l’Assemblée nationale et du Sénat, ainsi que pour présidents de groupes parlementaires, de saisir la CNIL sur toute proposition de loi relative à la protection des données personnelles .

• Renforcement des moyens d’investigations et de contrôle des agents de la CNIL : pouvoir de visite de locaux professionnels encadré, doit à la communication de documents, etc.

• Graduation et renforcement des mesures que peut prendre la CNIL en cas de méconnaissance des obligations définies par la loi ou le règlement  : avertissement / mise en demeure pour rectifier ou effacer des données / sanctions.

• Principe d’interdiction de traitement de données dites sensibles  en élargissant son champ aux données génétiques, biométriques et à celles relatives à l’orientation sexuelle d’une personne (l’article 8 de la loi du 6 janvier 1978 prévoit actuellement que sont des données sensibles : l’origine raciale, l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale).

• Suppression du régime de déclaration préalable des traitements de données à caractère personnel.

• Encadrement du traitement de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté.

• Encadrement du traitement des données de santé justifié par une finalité d’intérêt public : des référentiels, des règlements types et des méthodologies de référence seront établis par la CNIL, en concertation avec l’Institut national des données de santé.

Protection des plus jeunes : fixation à 15 ans de l’âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles ; sensibilisation du corps enseignant et des élèves aux problématiques liées à la protection des données personnelles.

• Possibilité d’exercer une action de groupe dans le domaine de la protection des données personnelles aux fins de réparation d’un dommage.

Une attention particulière accordée aux TPE et aux PME

Lors des négociations du règlement, la France s’est attachée à garantir la sécurité juridique et la transparence aux opérateurs économiques, surtout pour les petites et moyennes entreprises. Cette prise en compte se traduit notamment dans plusieurs dispositions du règlement européen :

• L’article 30 prévoit que la tenue d’un registre des activités de traitement ne s’applique pas aux entreprises comptant moins de 250 employés, sauf si le traitement contient des données sensibles.

• L’article 40 indique que les États membres et les autorités de contrôle encouragent l'élaboration de codes de conduite qui tiennent compte de la spécificité des différents secteurs de traitement et des besoins spécifiques des PME.

• L’article 42 prévoit le même encouragement pour la mise en place de mécanismes de certification en matière de protection des données. 

Le Gouvernement a traduit cette exigence dans le projet de loi initial en proposant de modifier l’article 11 de la loi informatique et libertés. La loi crée ainsi les conditions qui permettent à la CNIL d’accompagner au mieux les acteurs économiques grâce à l’élaboration « d’un droit souple » permettant la prise en compte rapide des évolutions technologiques. 
Dès à présent, la CNIL aide les entreprises à se préparer au règlement européen :

• sur son site internet, elle décrit « six étapes pour se préparer (cf ci-dessous) » et a mis en ligne un logiciel pour faciliter la conduite et la formalisation d’analyses d’impact.

• elle met en place des « packs de conformité » qui permettent d’anticiper les changements attendus dans certains secteurs particuliers (véhicules connectés, assurances…) ;



• lors de son audition à l’Assemblée nationale, la CNIL a annoncé qu’elle tiendra compte du nécessaire délai d’apprentissage et rendrait aussi public un « pack PME-TPE » sur la mise en conformité au règlement ;

• elle procède à l’envoi de courriers de sensibilisation aux organisations professionnelles;

La prise en compte des besoins des petites et moyennes entreprises a été renforcée lors des débats avec l’adoption d’amendements précisant que la CNIL prend en compte les besoins spécifiques des micros, petites et moyennes entreprises lors de l'élaboration des codes de bonnes conduites, et dans sa démarche de certification.

Se préparer en 6 étapes