Simplifier la réglementation en matière de données et garantir la vie privée

A une très large majorité, nous venons de voter le projet de loi relatif à la protection des données personnelles. Ce projet adapte le dispositif français, issu de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, au nouveau cadre juridique européen, instauré par le règlement et la directive du 27 avril 2016.

Outre un cadre unifié et protecteur pour les données personnelles des Européens, le règlement instaure de nouveaux droits pour les citoyens, en particulier un droit à la portabilité des données personnelles, un droit à l’effacement élargi, le droit de recourir à des actions collectives et un droit à réparation du dommage subi.

Dans un souci de simplification des règles pour les acteurs économiques, qui soit compatible avec un haut niveau de protection pour les citoyens, le projet de loi substitue au système actuel de contrôle a priori, fondé sur les régimes de déclaration et d’autorisation préalables, une logique de conformité et de responsabilité tout au long de la mise en œuvre du traitement.

Cette transformation permettra un allégement des démarches administratives et une réduction des délais de mise en œuvre pour les entreprises, ainsi qu’une économie estimée par la Commission européenne à 130 millions d’euros pour les entreprises.

Pour accompagner les petites et moyennes entreprises dans ces changements, la CNIL publiera des lignes directrices, des recommandations ou des référentiels. En contrepartie de cette preuve de confiance et d’accompagnement, les pouvoirs de la CNIL se voient renforcées et les sanctions alourdies en cas de faute, avec des amendes pouvant s’élever jusqu’à 20 millions d’euros ou 4% du CA annuel mondial.

Le web ne pouvant être réduit à un lieu où chaque trace devient indélébile, le droit de rectification et d’effacement des données est renforcé, afin de garantir un droit à l’oubli.

La question de l’âge requis pour qu’un adolescent puisse consentir seul au traitement des données qui le concernent figure aussi dans ce texte. Le règlement, qui a fixé cet âge à 16 ans, laisse aux États la possibilité de l’abaisser à 13, 14 ou 15 ans. Dans le projet de loi le Gouvernement a fait le choix de ne pas modifier l’âge fixé par le règlement. Lors de la réunion d’examen du projet de loi, la commission a adopté l’amendement de la rapporteure abaissant de 16 à 15 ans l’âge à partir duquel un mineur pourra consentir seul au traitement des données qui le concerne, et soumettant le traitement de données relatives à un mineur de moins de 15 ans au double consentement des parents et du mineur.