Quantcast

La protection des données personnelles, une politique du coup par coup

21 déc. 2017, PAR Soazig Le Nevé
  • 04
    MIN
  • 0

SEBASTIEN SALOM-GOMIS/SIPA

Si le projet de loi relatif à la protection des données personnelles présenté le 13 décembre en Conseil des ministres transpose fidèlement les dispositions prévues par le droit européen, il ne constitue qu’une première étape : c’est par ordonnance que le Gouvernement souhaite réécrire la loi informatique et libertés de 1978. Au risque de passer à côté d’un vrai débat public.


Droit à l’effacement, droit à l’oubli et droit à la portabilité des données : c’est un trio de droits nouveaux que crée le projet de loi relatif à la protection des données personnelles. Présenté en Conseil des ministres le 13 décembre par la ministre de la Justice Nicole Belloubet, le texte adapte au droit de l’Union européenne la loi « Cnil » du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ce cadre juridique européen -surnommé « paquet européen de protection des données »- se compose d’un règlement  (le RGPD) et d’une directive directement applicables dans les Etats membres à compter du 25 mai 2018. Le premier fixe le cadre général de la protection des données quand la seconde se focalise spécifiquement sur les fichiers de la sphère pénale. Une course contre la montre s’engage désormais puisqu’il faudra impérativement que le projet de loi français, ainsi que ses décrets d’application, entrent en vigueur avant le 25 mai 2018.

Le contrôle a posteriori devient la règle

« Ce cadre juridique sécurisé permettra de renforcer la confiance des citoyens dans l’utilisation qui est faite de leurs données personnelles », espère la Place Vendôme dans un communiqué.

Sur le fond, le projet de loi crée un cadre unifié pour les données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne.

Sur la forme cette fois, le projet de loi remplace le système de contrôle a priori, basé sur les régimes de déclaration et d’autorisation préalables, par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques causés par son traitement. En contrepartie, les pouvoirs de la Commission nationale informatique et libertés (Cnil) sont renforcés, et les sanctions encourues sont considérablement augmentées : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé.

L’exception des données biométriques

Le ministère de la Justice prévoit toutefois que seront maintenues certaines formalités de contrôles préalables « pour les traitements des données les plus sensibles », par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, ou pour les traitements utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques.

En outre, « les mineurs de moins de 16 ans seront mieux protégés », assure le ministère : le consentement des titulaires de l’autorité parentale sera nécessaire pour que leurs données personnelles soient traitées par « les services de la société de l’information », tels que les réseaux sociaux.

Une « nouvelle étape » pour la Cnil

Dans son avis relatif à ce projet de loi qui renforce ses prérogatives, la Cnil salue une « nouvelle étape » et souligne que le texte « joue pleinement le jeu du règlement [européen] et de l’harmonisation recherchée par celui-ci, en ne maintenant des dérogations nationales que lorsque celles-ci sont réellement justifiées, notamment en matière de données de santé ».

En revanche, la Commission regrette que certaines de ses propositions n’aient pas été retenues telles « l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives » ou encore « l’adaptation des procédures [de la Cnil ndlr.] pour lui permettre de faire face à l’augmentation d’activité liée au nouveau cadre européen ».

Le retour des ordonnances

Une autre ombre au tableau pourrait surtout prendre de l’ampleur : le fait que le gouvernement souhaite recourir à une ordonnance pour réécrire prochainement l’ensemble de la loi informatique et liberté de 1978.

Au-delà d’un « manque de lisibilité » pointé par la Cnil, d’autres acteurs s’inquiètent de la méthode gouvernementale, notamment dans le monde enseignant. « L'avènement de la société numérique conduit de plus en plus de citoyens à se poser de nombreuses questions. Revoir l'emblématique loi Informatique et liberté devrait être l'occasion d'un débat public », relève ainsi dans un communiqué le syndicat majoritaire des professeurs de collège et lycée, Snes-FSU.

Alors que le projet de loi présenté le 13 décembre « ne fait aucune référence aux données scolaires », le syndicat demande que celles-ci bénéficient d’un « statut » spécifique. « Sans être aussi contraignant que celui des données médicales, il assurerait cependant qu'on ne puisse faire de ces données un usage préjudiciable aux membres de la communauté éducative, et en particulier aux élèves », argue le Snes.