A six mois de l’entrée en vigueur du règlement général sur la protection des données personnelles (RGPD), le projet de réforme de la loi 78-17 du 6 janvier 1978 «Informatique et libertés» a été publié le 13 décembre 2017. Outre la transposition de la directive (UE) 2016/680 du 27 avril 2016 pour le domaine répressif et judiciaire, la vocation première de ce projet de loi est d’adapter le cadre normatif français à l’entrée en vigueur du RGPD. Ainsi, le projet de loi entend modifier la loi de 1978 ; le gouvernement souhaitant conserver l’architecture de celle-ci pour encadrer la protection des données personnelles.
1. Physionomie générale de la réforme «Informatique et libertés» de 2018
1.1. Mise en œuvre du RGPD
L’examen du RGPD par rapport à la loi de 1978 conduit à observer quelques lignes de force :
– malgré une emphase mise sur le principe d’«accountability» suivant lequel le responsable de traitement doit pouvoir prouver à tout moment la conformité de sa structure au RGPD, la part de texte dévolue aux autorités de contrôle est de 27 % ;
– les droits de personnes (chapitres III et IV) occupent 32 % ;
– les sanctions n’occupent plus que 8 % du texte, alors que la répression est très nettement renforcée ;
– le principe d’autodétermination informationnelle apparaît en filigrane notamment au travers des notions de consentement, de transparence, d’information, d’effacement, de limitation et de portabilité ;
– mais surtout, le RGPD comprend plusieurs dispositions qui s’en remettent aux Etats membres, chargés d’adapter leur mise en œuvre. Il s’agit notamment du chapitre IX traitant de «situations particulières de traitement» (i.e. : à des fins journalistiques ou universitaires, pour l’exécution d’une mission d’intérêt public, etc.).
1.2. Une large place laissée aux discrétions nationales
Le RGPD comporte une cinquantaine de dispositions permettant aux Etats membres d’opter pour des mesures nationales particulières, et pas uniquement sur des points de détail. Ce règlement hybride est sans doute la marque des compromis nécessaires pour aboutir à un socle commun de la protection des données personnelles, mais dans le respect des particularités nationales, notamment sur les sujets les plus sensibles.
Le chapitre IX précité est illustratif de cet état de fait. Ainsi les Etats pourront-ils adopter leurs propres règles conciliant protection des données à caractère personnel et :
– «droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques» ;
– numéro d’identification national ;
– conditions de licéité des traitements ;
– conditions d’âge pour de la protection des mineurs ;
– ou encore encadrement du droit à l’effacement, également au nombre des discrétions nationales.
2. Les axes principaux du projet de loi «CNIL 2»
2.1. Les précisions apportées par le projet de loi
Pour les entreprises commerciales, les principales innovations de ce projet de loi consistent en l’adoption de mesures relatives à la simplification des formalités préalables à la mise en œuvre des traitements. Actuellement, les traitements de données personnelles sont, par principe, soumis à un régime déclaratoire. La nouvelle logique de responsabilisation conduit à supprimer la plupart des formalités préalables.
