• Données personnelles

    par , Avocat

    Données personnelles : les nouveautés du projet de loi Lemaire

    Le projet de loi pour une république numérique envisage d’ouvrir largement l’accès aux données publiques, de garantir un environnement numérique ouvert (neutralité du net, loyauté des plateformes et droit à la portabilité) et modifie en profondeur la loi informatique et libertés.

    Ce texte, adopté par l’Assemblée Nationale le 26 janvier 2016 en procédure accélérée[1], a été transmis au Senat. Il fait actuellement l’objet d’un rapport en commission.

    On peut s’interroger sur la pertinence d’une large modification de la loi informatique et libertés cette année alors que le projet de règlement européen sur la protection des données (RGPD) qui doit être adopté lui aussi cette année[2] réforme complètement le cadre juridique applicable. (Pour plus d’informations sur les nouveautés du règlement cliquez ici.)

    Retour sur les principales nouveautés concernant les données à caractère personnel.

    1.     Une collaboration plus étroite entre CNIL et CADA (Article 13) :

    Le projet de loi prévoit que le président de la Commission d’accès aux documents administratifs (CADA), ou son représentant soit membre de la formation plénière de la CNIL.

    Il s’agit d’une première pierre à l’édifice concernant un rapprochement des deux autorités.

    2.     Une utilisation du NIR moins contraignantes dans certains cas (Article 18) :

    Traditionnellement, un traitement de données comprenant l’utilisation du NIR doit faire l’objet d’une demande d’autorisation auprès de la CNIL. (Article 25 de la loi informatique et libertés). Récemment, le gouvernement, dans la loi de modernisation de notre système de santé[3], a souhaité élargir l’utilisation du NIR en prévoyant qu’il soit utilisé comme identifiant du dossier médical partagé.

    Dans ce contexte, le projet de loi Lemaire étend encore les possibilités en prévoyant qu’une simple déclaration à la CNIL est nécessaire pour :

    • les traitements qui portent sur le NIR ou qui requièrent une consultation du répertoire, lorsque ces traitements ont exclusivement des finalités de statistique publique, sont mis en œuvre par le service statistique public et ne comportent aucune donne sensible, à la condition que le numéro d’inscription à ce répertoire ait préalablement fait l’objet d’une opération cryptographique lui substituant un code statistique non signifiant
    • des traitements ayant comme finalité exclusive de réaliser cette opération cryptographique.

    Les modalités d’application de ce texte seront précisées par décret.

    3.     Les « demandes article 31 » désormais dans un format ouvert (Article 26) :

    Il s’agit ici d’améliorer les demandes « Articles 31 » formulées auprès de la CNIL permettant à toute personne de connaitre l’ensemble des formalités accomplies par un responsable de traitement.

    Le texte prévoit désormais de communiquer les résultats « dans un format ouvert et aisément réutilisable ».

    4.     La durée de conservation devient une mention obligatoire de l’information des personnes (Article 27) :

    Ceci constitue une modification importante de la loi. Désormais les personnes devront être informées, en plus des 7 mentions déjà existantes, de la durée de conservation des catégories de données traitées.

    Une révision des mentions d’information sur les sites internet et autres formulaires de collecte serait à prévoir.

    5.     Exercice des droits des personnes au format électronique (Article 28) :

    La loi vient ici préciser que lorsque le responsable de traitement a collecté des données à caractère personnel par voie électronique, il doit permettre à toute personne d’exercer par voie électronique les droits d’accès, de rectification ou d’opposition.

    On imagine que c’est souvent déjà prévu en pratique.

    6.     Systématisation de l’avis de la CNIL pour les projets de loi (Article 29) :

    Pour éviter les écueils du passé, l’avis de la CNIL est désormais systématisé afin que l’autorité soit consultée pour des projets de loi dans lesquels seules quelques dispositions concernent les données personnelles.

    ll s’agit ici d’une évolution allant dans le bon sens. En effet, l’histoire récente nous a montré que la loi informatique et libertés a fait l’objet de modifications dans plusieurs loi n’ayant pas de lien apparent avec les données personnelles (ex : loi Hamon sur la consommation ou loi Touraine sur la Santé.)

    7.     Certification de processus d’anonymisation des données (Article 30) :

    A côté des labels CNIL existants, la CNIL pourra également certifier des processus d’anonymisation des données. Pour mémoire, l’anonymisation des données a fait l’objet d’un avis du G29 particulièrement riche et disponible ici.

    La multiplication des certifications est une anticipation sur le projet de règlement européen qui y consacre toute une section[4].

    8.     Un droit à l’effacement des données pour le mineur (Article 32) :

    La loi consacre un droit à l’effacement des données personnelles lorsque la personne était mineure au moment de la collecte. Des exceptions sont toutefois prévues notamment pour préserver la liberté d’expression et d’information ou en cas d’obligation légale.

    Là encore, le règlement européen prévoit la même chose mais de façon plus large en octroyant un droit à l’effacement à l’ensemble des individus[5].

    9.     Des directives anticipées concernant le devenir de ses données personnelles après sa mort (Article 28) :

    Il s’agit ici de résoudre les problématiques liées à la mort numérique. Que deviennent les données après le décès de l’individu ?

    La loi prévoit désormais la possibilité à chacun de rédiger des directives anticipées sur le devenir de ses données après sa mort. Les directives peuvent être générales ou particulières. Dans ce dernier cas, elles ne concernent que certains traitements de données à caractère personnel. Elles sont enregistrées auprès des responsables de traitement concernés.

    Le texte précise que les personnes doivent donner leur consentement et que la seule approbation des CGU n’est pas suffisante.

    La personne peut modifier ou révoquer ses directives à tout moment.

    Il est possible de désigner une personne chargée de leur exécution. À défaut de désignation, la loi prévoit une liste de personnes ayant qualité pour agir (les descendants, le conjoint, les héritiers…)

    En l’absence de directives, il n’est plus possible d’exercer de droits sur ces données.

    Il existe cependant des exceptions :

    • a) Les héritiers peuvent avoir accès aux données contenues dans les traitements de données à caractère personnel de la personne lorsque celles-ci sont nécessaires à la liquidation et au partage de la succession. Lorsqu’un notaire a été désigné, il peut demander l’accès à ces informations s’il joint à sa demande un mandat l’autorisant à agir au nom des ayants droit ;

     

    • b) Les héritiers justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que des données à caractère personnel la concernant faisant l’objet d’un traitement n’ont pas été actualisées, exiger du responsable de ce traitement qu’il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence ainsi qu’à la clôture du compte.

    Enfin, la loi précise que tout éditeur d’un site Internet doit informer l’utilisateur du sort des données qui le concerne à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu’il désigne. Là encore, la modification des CGV est à prévoir.

    10.           Une action de groupe en matière de données personnelles (Article 33bis A) :

    La loi prévoit désormais la possibilité de réaliser une action collective de protection des données personnelles devant une juridiction civile pour faire cesser une violation de la loi.

    Des associations de défense des consommateurs peuvent exercer ces actions ainsi que les organisations syndicales de salarié, lorsque le traitement affecte des salariés.

    Cette dernière précision est importante. Si les traitements relatifs au personnel (vidéosurveillance, biométrie, contrôle d’accès…) ne sont pas conformes à la loi, des organisations syndicales pourraient saisir les tribunaux. Il s’agit donc pour les entreprises d’être attentives.

    11.           20 millions d’euros ou 4% du CA en cas de manquement (Article 33bis B) :

    La loi prévoit une hausse considérable du montant des sanctions pouvant être prononcés par la CNIL.

    Là où la CNIL peut prononcer une amende maximum de 150 000€ actuellement et 300 000€ en cas de récidive, il sera désormais possible d’aller jusqu’à 20 millions d’euros ou pour une entreprise, 4% du chiffre d’affaires annuel total au niveau mondial réalisé lors de l’exercice précédant l’exercice au cours duquel le manquement a été commis.

    Le montant de la sanction est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement.

    • La loi définit les critères suivants pour établir le montant de la sanction :
    • Le caractère intentionnel ou de négligence du manquement ;
    • Les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées ;
    • le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels ;
    • les catégories de données à caractère personnel concernées ;
    • la manière dont le manquement a été porté à la connaissance de la Commission.

    12.           Une coopération renforcée entre autorités de contrôle (Article 33 bis) :

    12.1.               Contrôles et sanctions sur demande d’une autre autorité

    La CNIL pourra, à la demande d’une autorité analogues dans un État non membre de UE qui offre un niveau de protection adéquat des données à caractère personnel, procéder à des contrôles et prononcer des sanctions, sauf s’il s’agit d’un traitement concernant la sureté de l’Etat ou des infractions pénales.

    Cette disposition étend les possibilités d’action de la CNIL, qui peut agir sur simplement signalement d’un homologue.

    12.2.               Communication d’information aux autres autorités

    La CNIL est habilitée à communiquer les informations qu’elle recueille ou qu’elle détient, à leur demande, aux autorités analogues aux siennes dans des États non membres de l’UE qui offrent un niveau de protection adéquat des données à caractère personnel.

    Dans ce cas, la CNIL conclut préalablement une convention organisant ses relations avec l’autorité exerçant des compétences analogues aux siennes. Cette convention est publiée au Journal officiel.

    13.           L’ARCEP habilitée à constater les manquements à la LIL (Article 33 ter A) :

    Au même titre que la DGCCRF dans la loi Hamon, l’ARCEP peut désormais constater les manquements à la loi informatique et libertés. En réalité, trois autorités (CNIL, ARCEP et DGCCRF) sont désormais habilitées à constater les manquements à la loi.

    Edouard Verbecq

    Avocat

    [1] Cela signifie qu’une seule lecture aura lieu dans chaque assemblée

    [2] Une adoption au premier semestre 2016 est prévue pour une exécution à partir de 2018

    [3] LOI n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé

    [4] Articles 38 à 39a du RGPD

    [5] Article 17 RGPD