La garde des Sceaux Nicole Belloubet a présenté mercredi en conseil des ministres un projet de loi relatif à la protection des données personnelles qui adapte la Loi informatique et libertés de 1978 au droit européen.
Une révision de la loi est indispensable avant l'entrée en vigueur du « paquet européen de protection des données », qui comprend le Règlement général sur la protection des données personnelles (RGPD) et une directive applicable aux fichiers de la sphère pénale, et s'appliquera en mai 2018.
Le texte prend acte du changement de cadre, étendu à toutes les données des Européens, et reprend de nouveaux droits prévus dans le RGPD, comme la portabilité des données. D'autre part, il remplace le système de contrôle a priori – avec des déclarations et des autorisations préalables – par un contrôle a posteriori, et il entérine le renforcement des pouvoirs de la Commission nationale de l'informatique et des libertés (Cnil) ainsi que l'augmentation des amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.
La Chancellerie précise dans un communiqué avoir fait le choix de maintenir certaines formalités préalables pour les traitements des données « les plus sensibles, par exemple pour les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes, ou ceux utilisant le numéro d'inscription au répertoire national d'identification des personnes physiques ».
« Majorité numérique » à 16 ans
Le gouvernement a également fixé la « majorité numérique » à 16 ans, le consentement des titulaires de l'autorité parentale étant nécessaire pour que les données personnelles des enfants plus jeunes soient traitées par les services utilisés. Le RGPD donne aux Etats membres la possibilité d'abaisser ce seuil jusqu'à 13 ans.
S'agissant des traitements de données personnelles en matière pénale, le projet de loi crée un droit à l'information et prévoit l'exercice direct de certains droits, tels que les droits d'accès, de rectification et d'effacement des données. Il introduit également des règles encadrant les transferts de données à des Etats tiers, a précisé le ministère de la Justice.
La Cnil émet des réserves
Dans un communiqué, la Cnil « (a salué) cette nouvelle étape », soulignant « que le projet de loi joue pleinement le jeu du Règlement et de l'harmonisation recherchée par celui-ci, en ne maintenant des dérogations nationales que lorsque celles-ci sont réellement justifiées, notamment en matière de données de santé ».
Cependant, elle « regrette que d'autres propositions n'aient pas été retenues », notamment l'ajout de « garanties supplémentaires lors de l'utilisation de traitements algorithmiques débouchant sur l'adoption de décisions administratives ». La Commission doit d'ailleurs rendre vendredi un rapport sur les enjeux éthiques des algorithmes et de l'intelligence artificielle. La Cnil s'inquiète par ailleurs du « calendrier trop tardif retenu pour l'examen de ce texte », car le projet de loi et ses décrets d'applications devront « impérativement » être prêts le 25 mai prochain. Elle aurait aimé, enfin, que le gouvernement suive son avis quant à « l'adaptation de ses procédures pour lui permettre de faire face à l'augmentation d'activité liée au nouveau cadre européen ».
