VERS UNE NOUVELLE LOI RELATIVE À LA PROTECTION DES DONNÉES PERSONNELLES

La Ministre de la Justice a présenté en Conseil des Ministres, le 13 décembre 2017, un projet de loi d’adaptation au droit de l’Union Européenne suite à l’adoption du RGPD qui entrera en vigueur le 25 mai 2018.

I. Génèse du Projet de loi

 Tout comme les entreprises, la France doit se mettre en conformité avec le nouveau règlement européen relatif à la protection des données personnelles adopté le 27 avril 2017[1].

Ce nouveau projet de loi français est attendu car il permettra de concrétiser dans notre droit positif la réforme du droit européen relatif à la protection des données à caractère personnel adoptée en 2016.

L’ambition affichée est d’adapter ce droit aux évolutions technologiques en facilitant la libre circulation de ses données tout en assurant un niveau de protection élevé des utilisateurs et/ou internautes.

Elle tend à un renforcement de la régulation par les responsables de traitement, leurs sous-traitant et les autorités de la protection des données sous le contrôle des juges.

La réforme envisagée est d’envergue, au niveau européen, pour les différents acteurs concernés (cf. notre article sur la mise en conformité au RGDP).

Le choix a été fait par le Gouvernent français de réécrire la loi Informatiques et Libertés de 1978. Le projet de loi apporte des clarifications attendues résultant de la volonté des institutions européennes de placer la régulation au cœur dd nouveau droit européen relatif à la protection des données à caractère personnel (II).

I. Les principales nouveautés liées aux pouvoirs de la CNIL

 1. Renforcement des pouvoirs de régulation de la CNIL

La CNIL en tant qu’autorité de contrôle en droit français voit ses pouvoirs étendus, en dépit de la limitation des formalités préalables à la mise en œuvre des traitements et de l’encadrement national des traitements spécifiques.

En premier lieu, la CNIL en tant qu’autorité de régulation en matière de données personnelles, voit ses pouvoirs augmentés pour aider les acteurs à sécuriser leurs traitements, améliorer ses contrôles et pour sanctionner les violations sous le contrôle éventuel des Juges.

Notamment, elle se voit investie de nouvelles missions en matière de certifications des personnes, des produits et des systèmes de données ou de procédures. De la même façon, la CNIL est encouragée à déterminer établir la liste des traitements devant faire l’objet d’une analyse d’impact préalable (PIA) par les responsables de traitement notamment en raison des risques élevés qu’il comportent pour les droits et libertés des personnes concernées.

En second lieu, les pouvoirs de contrôle de la CNIL sont améliorés. D’une part, ses agents se voient attribuer un droit de contrôle sur place généralisé à l’ensemble des locaux professionnels, mais aussi sur des matériels installés dans les couloirs et autres espaces communs. servant à la mise en œuvre d’un traitement de données à caractère personnel.

Enfin, le projet de loi permet la participation d’agents des homologues européens de la CNIL à des opérations conjointes sur le territoire français et inversement la participation d’agents de la CNIL à des enquêtes dans un autre Etat membre.

En troisième lieu, les pouvoirs de sanctions de la CNIL sont renforcés en cas de violation d’obligations découlant du droit européens. Le projet de loi confère toutefois la possibilité pour la CNIL d’assortir d’une astreinte, l’injonction faite à un responsable de traitement de se mettre en conformité avec la loi ou le RGDP.

2. La limitation des formalités à la mise en œuvre de certains traitements

Le projet de loi pose des règles spécifiques permettant à titre dérogatoire, le traitement de certaines données sensibles que sont les données génétiques, biométrique et de santé.

Il clarifie également le traitement de données d’infraction qui sont les données relatives aux condamnations pénales ou aux mesures de sûreté connexe, lequel nécessitera une autorisation préalables.

Ce projet est actuellement en cours de discussion au Parlement[2].

Article rédigé par Me Florence SILVERE, avocate au Barreau de Clermont-Fd

 

 

 

[1] Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, dit « RGPD »

[2]

Téléphone

+33 (0)4 73 37 80 26

Mobile

+33 (0)6 32 58 16 92

Réseaux sociaux

Suivez notre actualité sur Facebook !

Facebook

Adresse

Silvere Avocat
42, avenue Julien
63000 Clermont-Ferrand