Données personnelles : ce que dit la (nouvelle) loi française

C’était juste. Peut-être trop. L’Assemblée nationale a adopté définitivement – à une large majorité – le projet de loi relatif à la protection des données personnelles le 14 mai. Ce texte a pour objectif d’adapter le droit français à l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD). Mais alors que ce texte européen entrera en vigueur, quoi qu’il arrive, le 25 mai, le projet de loi n’a toujours pas été promulgué. J-10. Le compte à rebours est donc lancé.

Problème : Sophie Joissains, rapporteure du texte devant le Sénat, et Philippe Bas, président de la commission des lois, ont annoncé leur intention de saisir le Conseil constitutionnel dans les colonnes de Nextinpact. Le temps que les Sages de la rue Montpensier statuent, la date butoir du 25 mai sera passée, et la parution du projet de loi RGPD au Journal officiel se produira donc « en retard ».

Isabelle Falque-Pierrotin, présidente de la Cnil, expliquait le 10 avril dernier lors du bilan annuel de la Commission qu’un tel retard mettrait à mal « la capacité de la Cnil à intervenir dans la coopération européenne, notamment en cas de litige transfrontalier. »

Ce qui motive cette saisine, c’est le manque de prise en compte et de solutions apportées par le texte face aux difficultés qu’auront les collectivités à mettre en oeuvre la nouvelle réglementation.

Les sénateurs avaient en effet estimé nécessaire l’ajout au texte de plusieurs dispositions dérogatoires pour les collectivités lors de la navette parlementaire. Au menu : dotations spéciales et exonérations de sanctions financières. Des dispositions supprimées par les membres du Palais-Bourbon.

Des précisions sur la mise en oeuvre du RGPD par les collectivités

Le projet de loi apporte plusieurs précisions par rapport au RGPD, dont plusieurs concernent les collectivités. Ainsi, il est prévu à l’article 1er du projet de loi que la Cnil apporte une information adaptée aux collectivités territoriales et à leurs groupements. Paula Forteza expliquait dans une interview à la Gazette que grâce à cette disposition, « les collectivités pourront aller se renseigner auprès de la Cnil pour avoir une information personnalisée. »

Selon ce même article 1er, la Cnil devra tenir compte de la situation particulière des collectivités lorsqu’elle publiera des outils de droit souple, notamment ses lignes directrices, recommandations ou référentiels. Elle devra également prendre en compte « la situation des personnes dépourvues de compétences numériques ».

Enfin, l’article 19 ter permet que soient conclues entre les collectivités territoriales et leurs groupements « des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. »

De même, les collectivités peuvent se doter d’un service unifié ayant pour objet d’assumer en commun les charges et obligations liées au traitement de données à caractère personnel.

L’action de groupe et les pouvoirs de la Cnil élargis

L’article 16A du projet de loi élargit l’action de groupe en matière de données personnelles qui avait été consacrée par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle. Celle-ci pourra désormais avoir pour objectif, en plus de celui de faire cesser un manquement, l’engagement de la responsabilité de la personne ayant causé le dommage « afin d’obtenir la réparation des préjudices matériels et moraux subis ».

L’article 6 prévoit de son côté les sanctions que pourra prononcer la Cnil lorsque des manquements seront constatés à compter du 25 mai. Des sanctions qu’elle peut bien entendu prononcer à l’égard des collectivités :

• l’avertissement ;
• la mise en demeure assortie d’une astreinte ;
• le rappel à l’ordre ;
• l’injonction de mettre en conformité le traitement ;
• la limitation temporaire ou définitive du traitement ;
• le retrait d’une certification ;
• l’amende administrative, avec un plafond de 20 millions d’euros.