Le projet de loi sur la protection des données personnelles vient d'être publié

15 décembre 2017

Ariane Mole

Ce projet est destiné à compléter en France les dispositions du Règlement Général Européen sur le Protection des Données Personnelles (RGPD) qui entrera en vigueur le 25 mai 2018.

Les principales dispositions du projet de loi peuvent être résumées comme suit :

  • Les déclarations auprès de la CNIL sont supprimées, ainsi que la majorité des demandes d’autorisation.
  • Si le régime des déclarations auprès de la CNIL est supprimé, les organismes publics et privés (qu’ils soient responsables de traitement sous-traitants) seront tenus de tenir un registre interne des traitements, comme prévu par le RGPD. Mais le projet de loi ajoute l’obligation de faire porter au Registre certains éléments qui n’étaient pas prévus par le RGPD, tels que l’indication de la base juridique de l’opération de traitement ou le recours au profilage. Cette exigence supplémentaire du droit français et de nature à poser un problème aux groupes internationaux qui souhaitaient mettre en place des registres de traitement selon un modèle unique correspondant aux mêmes caractéristiques dans tous les Etats membres de l’Union Européenne ;
  • Au demeurant, le projet de loi prévoit également que chaque responsable de traitement ou son sous-traitant devra établir, en plus du registre, un « journal des opérations » de collecte, de modifications, de consultations, de communications portant sur les données à caractère personnel, qui devra tracer également les transferts de données, leur interconnexions ou leur effacement. Il est également prévu que ces journaux devront établir le motif, ainsi que la date et l’heure de l’opération de traitement : En pratique, la tenue de tels journaux d’opérations de traitements apparait difficile à mettre en oeuvre, notamment s’agissant de l’obligation d’indiquer le motif de chaque opération effectuée. Au demeurant, il semble que cette disposition du projet de loi procède à une confusion entre la notion de « traitement » et celle de « base de données » ;
  • Le projet de loi ne conserve un régime d’autorisation préalable que pour trois types de traitements :
  • Les traitements comportant le « NIR », ou Numéro d’Inscription des personnes au Répertoire National d’identification des personnes physiques, ce qui s’étend aux traitements comportant le numéro de sécurité sociale.
  • Les traitements comportant des données biométriques ou des données génétiques sont également soumis à autorisation, mais uniquement lorsqu’ils sont mis en œuvre pour le compte de l’Etat ;
  • Les traitements effectués à des fins de recherches, d’études ou d’évaluation dans le domaine de la santé, qui restent comme aujourd’hui sous l’empire de la loi actuelle, soumis à un régime d’autorisation préalable auprès de la CNIL;
  • Les pouvoirs de contrôle et de sanction de la CNIL sont également détaillés, qui peuvent aller comme prévu par le RGPD jusqu’à 2% ou 4% du chiffre d’affaires annuel mondial consolidé de l’entreprise, et 10 à 20 millions d’euros dans les autres cas. Le projet prévoit en outre la possibilité pour les agents de la CNIL chargés du contrôle d’utiliser une identité d’emprunt pour les contrôles en ligne. Cette mesure, dont dispose déjà les agents de l’Autorité des marchés Financiers (AMF), renforcera l’efficacité des contrôles.

Consulter le projet de loi

Auteurs

Mole-Ariane

Ariane Mole

Partner
France

Me joindre +33 (0)1 42 68 6000