L’essentiel de la loi du 20 juin 2018 sur la protection des données personnelles

La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018. Elle adapte la loi "Informatique et libertés" du 6 janvier 1978 au "paquet européen de protection des données".

13 minutes

Ce paquet européen comprend le règlement général sur la protection des données (RGPD), un règlement du 27 avril 2016 directement applicable dans tous les pays européens au 25 mai 2018 ainsi qu’une directive datée du même jour sur les fichiers en matière pénale, dite directive "police".

 

La loi fondatrice du 6 janvier 1978 est modifiée sur plusieurs points pour la mettre en conformité avec le RGPD (missions et pouvoirs de la CNIL, élargissement des données sensibles) ou tirer parti des marges de manœuvre qu’il permet (majorité numérique, etc.).

L’adaptation du rôle de la CNIL et de ses pouvoirs de contrôle et de sanction

La composition, les missions et les pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL) sont modifiés.

L’évolution des missions de la CNIL

Les missions de la CNIL évoluent afin de les adapter à la nouvelle logique de responsabilisation et d’accompagnement des acteurs traitant des données (entreprises, administrations, etc.) instaurée par le RGPD. Les formalités préalables auprès de la CNIL sont quasiment toutes supprimées. En complément des missions qu’elle exerce déjà, la CNIL est désormais chargée :

  • d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ;
  • d’encourager l’élaboration de codes de conduite par les acteurs traitant des données ;
  • de produire et de publier des règlements types afin d’assurer la sécurité des systèmes de traitement et de régir les traitements de données biométriques, génétiques et de santé ;
  • de certifier des personnes, des produits, des systèmes de données ou des procédures ;
  • de lister les fichiers pénaux pouvant présenter un risque élevé pour les droits et libertés des personnes.

Dans l’exercice de ses missions, la CNIL doit prendre en compte les besoins propres des collectivités locales, dont beaucoup se sont inquiétées des nouvelles règles européennes. Pour les aider, la CNIL a publié sur son site internet plusieurs pages qui leur sont dédiées. La loi prévoit que les petites et moyennes entreprises (TPE-PME) doivent également faire l’objet d’un accompagnement personnalisé. C'est pourquoi la CNIL, en partenariat avec Bpifrance, a mis à leur disposition un guide pratique les sensibilisant au RGPD.

Toujours au titre de ses missions, la CNIL peut dorénavant être consultée sur toute proposition de loi portant sur la protection des données personnelles par les présidents ou les commissions compétentes de l’Assemblée nationale ou du Sénat et par les présidents des groupes parlementaires.

Le renforcement des pouvoirs de contrôle et de sanction de la CNIL

Les pouvoirs de contrôle de la CNIL sont précisés et étendus. La nature des locaux que ses agents peuvent visiter et les conditions dans lesquelles le secret professionnel, notamment médical, peut leur être opposé sont redéfinies. De plus, pour les contrôles en ligne, les agents peuvent désormais recourir à une identité d’emprunt.

Plusieurs articles de la loi sont également consacrés à la procédure de coopération entre la CNIL et les autres autorités de protection européennes en cas de traitements transnationaux (touchant des personnes de plusieurs pays européens). Le RGPD pose, en effet, de nouvelles règles en la matière. L’objectif est d’apporter une réponse unique en cas d’atteinte au droit à la vie privée des citoyens de plusieurs pays européens (atteinte illustrée par exemple par laffaire Cambridge Analytica-Facebook).

Les pouvoirs de sanction de la CNIL sont par ailleurs adaptés. De nouvelles sanctions, comme le prononcé d’une astreinte ou le retrait d’une certification ou d’un agrément, sont prévues en cas de violation des règles sur la protection des données. En outre, le montant des amendes administratives est fortement augmenté. Ces astreintes et amendes concernent autant les entreprises que les collectivités locales et les associations, qu’elles soient responsables d’un traitement ou sous-traitant. Seul l’État en est dispensé.

Lors de la discussion du projet de loi, le Sénat voulait exempter les collectivités locales de ces sanctions financières. Il souhaitait également que leur produit serve à financer l’accompagnement par l’État des responsables de traitement et de leurs sous-traitants. Il a, de plus, proposé la création d’une dotation communale et intercommunale afin d’aider les collectivités à se mettre en conformité avec le RGPD. Cette mise en conformité va, en effet, avoir un coût budgétaire pour les petites collectivités. Toutefois, ces amendements ont été rejetés. Néanmoins, à la demande des sénateurs, la mutualisation des services numériques entre les collectivités et leurs groupements est facilitée. Les communes peuvent, en particulier, se doter d’un délégué à la protection des données commun.

infographie : Quel est le montant des amendes que peut prononcer la CNIL ? En cas de manquement à la protection des données personnelles, les amendes peuvent atteindre : 10 à 20 millions d'euros ou 2 à 4% du chiffres d'affaires annuel mondial. Pour les entreprises, le montant le plus élevé est retenu. Source : Règlement général sur la protection des données (RGPD) du 27 avril 2016 et loi du 20 juin 2018 relative à la protection des données personnes

 

L’élargissement des données sensibles

Conformément au RGPD, le champ des données sensibles (sur l’origine raciale, les opinions politiques, etc.) est étendu aux données génétiques et biométriques ainsi qu’aux données relatives à l’orientation sexuelle d’une personne. En principe, ces données ne peuvent pas faire l’objet d’un traitement en raison de leur nature même.

Des dérogations à cette interdiction sont toutefois prévues par le droit européen (si la personne a expressément consenti au traitement de ses données ou si elle les a rendues publiques, en matière de sécurité sociale, etc.). La loi du 20 juin 2018 ajoute d’autres dérogations. Sont notamment permis les traitements de données biométriques (empreintes digitales, etc.) strictement nécessaires aux contrôles d’accès sur les lieux de travail, aux ordinateurs et aux applications utilisés au travail. Sont de même autorisés les traitements portant sur la réutilisation d’informations figurant dans les décisions de justice diffusées dans le cadre de l’open data.

Les marges de manœuvre permises par le RGPD

Le RGPD, bien que d’application directe, contient plus d’une cinquantaine de marges de manœuvre, qui autorisent les États membres à préciser certaines dispositions. La plupart de ces marges de manœuvre ont permis de conserver des dispositions qui existaient déjà dans la loi CNIL de 1978. La loi du 20 juin 2018 n’aménage que quelques points, afin notamment de répondre aux évolutions technologiques et sociétales.

Des formalités préalables maintenues pour certains traitements

Les formalités préalables (autorisations ou déclarations) auprès de la CNIL sont quasiment toutes supprimées. Comme l’autorise le RGPD, la loi en maintient certaines pour :

  • les traitements comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR), sauf exceptions ;
  • les traitements de données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes mis en œuvre pour le compte de l’État ;
  • les traitements qui intéressent la sûreté de l’État, la défense, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ;
  • les traitements de données de santé justifiés par une finalité d’intérêt public (sécurité des médicaments, etc.).

Catégories particulières de traitement

Plusieurs dispositions de la loi sont consacrées à des catégories particulières de traitements. Sont notamment visés les traitements de données de santé, qui font l’objet d’un régime spécifique.

Sont aussi concernés les traitements de données sur les infractions, condamnations ou mesures de sûreté connexes (hors champ de la directive c’est-à-dire à d’autres fins que la prévention et la répression des infractions). Ces traitements peuvent à présent être effectués par une liste élargie de personnes : par exemple des associations d’aide aux victimes ou de réinsertion ou des personnes mises en cause ou victimes dans une procédure pénale. En revanche, le Conseil constitutionnel, saisi par des sénateurs Les Républicains, a déclaré anticonstitutionnel l’élargissement de la mise en œuvre des tels traitements "sous le contrôle de l’autorité publique" (comme l’hébergement des données sur un serveur). Cette rédaction, qui recopie le RGPD, a été jugée insuffisamment précise.

Droits des personnes

Sur ce point encore, la loi utilise les marges de souplesse permises par le RGPD.

Elle fixe à 15 ans la majorité numérique, c’est-à-dire l’âge à partir duquel un enfant peut consentir seul au traitement de ses données, typiquement sur les réseaux sociaux. Le gouvernement et les sénateurs souhaitaient retenir le seuil de 16 ans, l’âge du consentement fixé par défaut par le RGPD. Le texte a toutefois laissé aux États la possibilité de l’abaisser jusqu'à 13 ans. C’est dans ce cadre que les députés ont voté l’âge de la majorité numérique à 15 ans.

La loi ouvre, par ailleurs, plus largement la possibilité pour l’administration de recourir à des décisions individuelles automatisées. Les décisions fondées exclusivement sur un algorithme ne sont plus interdites. Néanmoins, de nouvelles garanties sont données aux administrés : droits à l’information et à l’explication (déjà consacrés par la loi pour une République numérique de 2016), droit à recours avec une intervention humaine a posteriori, obligation pour l’administration de maîtriser l’algorithme et ses évolutions (prohibition des algorithmes auto-apprenants), interdiction d’utiliser des données sensibles.

Sur ce point les deux chambres étaient à nouveau en désaccord. Les sénateurs souhaitaient encadrer plus strictement l’usage des algorithmes par l’administration. Ils demandaient aussi la transparence des algorithmes utilisés par les universités dans le cadre de Parcoursup (transparence exclue par la loi "orientation et réussite des étudiants" du 8 mars 2018). Les propositions du Sénat ont été rejetées mais, sur amendement du gouvernement, le fonctionnement de Parcoursup va faire l’objet chaque année d’un rapport au Parlement. Le 1er  rapport du Comité éthique et scientifique de Parcoursup a été présenté en janvier 2019. 

Dans sa décision du 12 juin 2018, le Conseil constitutionnel a jugé conforme à la Constitution les nouvelles règles régissant l’emploi des algorithmes par l’administration. Il considère que "le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme".

La loi oblige aussi les écoles, collèges et lycées publics à rendre public, à partir de la rentrée 2018, le registre de leurs traitements de données scolaires. Il s’agit entre autres de permettre aux parents d’élèves de savoir comment les données de leurs enfants sont traitées. En vue de sensibiliser les acteurs de l'Éducation nationale à la  protection des données, le ministère de l’Éducation nationale et la CNIL ont signé en décembre 2018 une convention

Actions de groupe

Les actions de groupe, déjà autorisées depuis fin 2016 pour faire cesser en justice un manquement par un responsable de traitement ou un sous-traitant, sont étendues à la réparation des préjudices matériels et moraux subis en cas de violation des données personnelles.

En vertu du RGPD, les citoyens peuvent aussi se faire représenter par les associations ou organismes actifs dans le domaine de la protection des données pour exercer en leur nom une réclamation auprès de la CNIL, un recours juridictionnel contre la CNIL ou contre le responsable du traitement ou sous-traitant.

C'est ainsi qu'en mai 2018 l’association La Quadrature du Net a déposé une plainte collective auprès de la CNIL contre les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) estimant que ces derniers ne respectent pas le RGPD sur le consentement "libre et éclairé" des internautes. L'association None Of Your Business a également déposé plainte. C'est sur la base de ces plaintes que la CNIL a prononcé le 21 janvier 2019 une amende de 50 millions d'euros contre Google LLC. 

Plus récemment, l'association UFC-Que choisir a lancé une action de groupe contre Google, devant le tribunal de grande instance de Paris. Selon le communiqué de l'association du 26 juin 2019, "L’objectif de cette action est de mettre fin à l’exploitation insidieuse des données personnelles" des utilisateurs de Google, "particulièrement ceux détenant un équipement Android avec un compte Google, et de les indemniser à hauteur de 1 000 €".

Le libre choix de ses applications sur smartphone

Cette disposition est issue de l’amendement "Bothorel", du nom du député qui l’a porté. Aujourd’hui, la quasi-totalité des smartphones vendus en France et en Europe sont équipés d’un système d’exploitation mobile iOS ou Android qui impose par défaut, donc sans consentement véritable, le même moteur de recherche à leurs utilisateurs (comme Google). La loi oblige les fabricants ou distributeurs de smartphones à proposer aux consommateurs plus de choix dans les applications. L’objectif est de faire un peu plus de place aux navigateurs web et moteurs de recherche "alternatifs", parfois plus respectueux de la protection des données personnelles de leurs utilisateurs (tel Qwant en France).

La transposition de la directive "police"

La loi du 20 juin 2018 transpose enfin la directive du 27 avril 2016 qui harmonise le régime des traitements à finalité pénale (fichiers de police et de justice comme le fichier national des empreintes génétiques, à l’exclusion des fichiers de renseignement).

Un droit à l’information est en particulier créé pour les personnes fichées en matière pénale. Ces dernières peuvent aussi désormais exercer de façon directe leur droit d’accès auprès du responsable du traitement (sauf exceptions). Elles peuvent ensuite demander la rectification des données les concernant, voire leur effacement.

Les autorités publiques doivent, par ailleurs, respecter un certain nombre d’obligations (production d’une analyse d’impact pour les données sensibles, tenue d’un registre des activités du traitement et d’un journal pour certaines opérations de traitement, désignation d’un délégué à la protection des données, communication de toute violation de données à la CNIL et à la personne concernée, etc.).

De nouvelles règles sur les transferts de données personnelles vers les autorités judiciaires et les forces de l’ordre des pays hors Union européenne sont également posées.

XXX

Pour assurer la bonne application du RGPD, la CNIL compte 200 collaborateurs fin 2018, un chiffre qui la place, comparé à la population, dans les autorités de protection les moins bien loties en Europe. L'augmentation des effectifs de la CNIL reste un enjeu important, selon sa nouvelle présidente, Marie-Laure Denis.