Le projet de loi relatif à l’adaptation en droit français du règlement général sur la protection des données (RGPD) a été présenté le 13 décembre en Conseil des ministres. Il a pour objectif d’adapter et de transposer le nouveau cadre juridique européen qui entrera en vigueur en mai 2018 et de décliner l’ensemble de ses dispositions. Une telle adaptation est nécessaire parce que le règlement renvoie sur de nombreux points aux droits nationaux. Une première liste de ces renvois a été établie par l’Assemblée nationale dans son rapport d’information de février dernier et 56 points ont ainsi été recensés (par exemple en matière de données sensibles, de consentement des enfants ou d’autorisation du profilage), au-delà des éléments déjà intégrés dans la loi Lemaire pour une République numérique. Le gouvernement a par ailleurs indiqué dans l’exposé des motifs du projet de loi que l’architecture de la loi Informatique et Libertés sera conservée en signalant qu’il s’agissait d’un choix symbolique.
Ce projet de loi se décompose en cinq titres: dispositions communes au règlement UE 2016/679 et à la directive UE 2016/680, marges de manoeuvre permises par le règlement, dispositions portant transposition de de la directive UE 2016/680, habilitation à améliorer l’intelligibilité de la législation applicable à la protection des données et enfin, dispositions diverses et finales. Nous intéressent plus particulièrement les deux premiers titres ainsi que l’habilitation. Le premier titre traite des dispositions relatives à la CNIL et des dispositions relatives à certaines catégories de données (données sensibles notamment). Le second titre reprend les différentes adaptations proposés s’agissant du champ d’application territorial du règlement, des dispositions relatives à la simplification des formalités préalables aux traitements, des obligations incombant aux responsables de traitements et sous-traitants, des catégories particulières de traitement (plus spécifiquement les données de santé) et enfin des droits des personnes concernés.
Cette adaptation du RGPD en droit français constitue un exercice délicat à plusieurs titres, au vu de l’ampleur des travaux à mener:
CALENDRIER
Le calendrier de ces travaux sera très contraint et pourrait générer des difficultés. En effet, le RGPD entrera en application le 25 mai 2018, à la suite d’une période de transition de deux ans, ce qui implique un calendrier législatif très bref puisque ce projet de loi relatif à la protection des données personnelles ne sera discuté qu’à partir de janvier 2018. La CNIL a, dans sa délibérationhttps://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles du 30 novembre dernier, regretté un tel agenda et souligné le risque réel de non-respect des délais de mise en oeuvre du RGPD. Elle a aussi rappelé que l’application effective de ce texte européen nécessitait, au-delà de la future loi, de disposer des décrets d’application et de pouvoir modifier son propre règlement intérieur. A défaut, la mise en oeuvre des mécanismes de coordination et de contrôle ne pourra avoir lieu dans les délais prévus.
Un tel calendrier pourrait aussi être interprété comme un mauvais signal politique pour le droit des données personnelles. C’est l’interprétation de la CNIL qui a estimé à juste titre que ce projet de loi ne permettait pas procéder à ce stade à un réexamen global du droit de la protection des données en France. Si le choix du législateur européen de disposer d’un règlement et d’une directive a crée un premier niveau de complexité, la future loi ne devrait pas permettre de fournir une information claire et précise sur la portée des droits et des obligations. Une telle ré-écriture aura lieu avec la future ordonnance prévue au titre IV du projet de loi qui aura pour objet de reprendre l’ensemble de la loi 78-17 du 6 janvier 1978 et de mettre en cohérence la législation applicable à la protection des données. Cette ordonnance sera prise dans un délai de 6 mois à compter de la promulgation de ce projet de loi, ce qui permettra dès lors de satisfaire aux voeux d’une plus grande intelligibilité émis par la CNIL ou le Conseil d’Etat. De tels travaux n’auraient-ils pas dus être menés dans le cadre du présent projet de loi? La question doit être posée, d’autant que le choix de recourir à une future ordonnance peut apparaître comme une remise en cause des choix qui seront faits par le législateur.
QUELLE ADAPTATION?
Si les règlements européens n’ont pas à être transposés en droit interne du fait de leur portée générale et leur applicabilité directe, le RGPD constitue une exception. Cette adaptation -nécessaire du fait de l’état de la répartition des compétences entre Union européenne et Etats membres- traduit aussi l’état des lieux hérité de l’application de la directive 95/46. La variété – et la complexité- des dispositions appelant des adaptations doit cependant être notée. Le Conseil d’Etat a souligné avec insistance cette difficulté dans son avis du 7 décembre et noté que la nouvelle architecture de conformité mise en place par le RGPD était sans précédent.
Cet exercice interpelle également quant aux choix politiques et éthiques à l’oeuvre ou à faire, du fait des évolutions numériques notamment. Le Conseil d’Etat a rappelé la nécessité de disposer de normes robustes face aux évolutions techniques et suggéré une nouvelle fois un code du numérique et des libertés. A défaut d’un tel code, une vision précise reste toujours indispensable pour appréhender tous les enjeux brassés par le sujet de la protection des données personnelles (concurrence économique, traitements massifs de données, place de l’intelligence artificielle etc…), difficile à effectuer dans le cadre de ce projet de loi. D’autant que les 56 points recensés devant faire l’objet d’une adaptation méritent un examen approfondi.
Par exemple sur les conditions et des pouvoirs de contrôles de la CNIL, le délégué à la protection des données, la simplification des formalités et le maintien de régimes d’autorisation spécifiques, le traitement des données sensibles et de santé ou les algorithmes. A ce titre, la question du contrôle des algorithmes est particulièrement intéressante notamment dans le cas des décisions administratives individuelles et annonce une évolution vers un régime plus complet. La CNIL s’est montrée critique sur ce point en notant que la cohérence entre le RGPD et la loi française n’était pas assurée par ce projet alors que cette disposition aura une portée considérable. Parmi ses nombreuses observations, la CNIL a aussi noté qu’un chapitre spécifique aux données de santé était nécessaire tout en s’interrogeant sur certains dispositifs (demandes d’autorisations pour les traitements à des fins de recherche ou information individuelle atténuée).
Par ailleurs, si le périmètre de cette adaptation a déjà suscité certaines remarques de la part du Conseil d’Etat et de la CNIL, celle-ci devra intervenir dans les limites d’une interprétation loyale et cohérente du RGPD, à l’image du processus de transposition, ce qui contraindra doublement les futurs travaux parlementaires tenus par un calendrier européen strict. ²
Ces débats devront être suivis attentivement. Car des hypothèques demeurent toujours, au-delà des points mentionnés ci-dessus. En effet, comme l’a signalé le Conseil d’Etat, l’étude d’impact du projet de loi n’analyse pas le coût économique de sa mise en oeuvre, en dépit de conséquences significatives pour les entreprises. Un point qui aurait pourtant été nécessaire, en complément de l’étude d’impact effectué lors de la présentation du RGPD. Le Conseil a relevé à ce titre les charges significatives pesant désormais sur les responsables de traitement et qui nécessitent de mettre en place une législation claire et prévisible, prévisibilité qui sera sans doute difficile à assurer au vu du calendrier et de la difficulté de l’exercice.