1. Accueil
  2. Actualités
  3. Le projet de loi relative à la protection des données personnelles définitivement adopté par l’Assemblée nationale complète le cadre juridique de la protection des données personnelles

Le projet de loi relative à la protection des données personnelles définitivement adopté par l’Assemblée nationale complète le cadre juridique de la protection des données personnelles

Dernier chapitre en date du cadre réglementaire concernant la protection des données personnelles, la loi adoptée le 14 mai 2018 prévoit les ajustements nécessaires à une mise en conformité du droit français avec le règlement européen sur la protection des données (RGPD). Il modifie ainsi la loi informatique et libertés de 1978 en redéfinissant le rôle et les missions de la CNIL à l’aune des concepts du RGPD et en mettant en œuvre la nouvelle logique de responsabilisation des acteurs. Le texte, qui précise également les règles applicables aux données de santé, sera promulgué après la décision du Conseil constitutionnel. Le RGPD sera, lui, bien applicable dès le 25 mai 2018.

A quelques jours de l’entrée en vigueur du règlement européen sur la protection des données (RGPD), le projet de loi relative à la protection des données personnelles vient d’être adopté le 14 mai par l’Assemblée nationale.

Il intègre les évolutions du RGPD et fait évoluer la loi Informatique et libertés de 1978 (LIL) afin de permettre à certaines dispositions du RGPD d’entrer en vigueur, notamment s’agissant des mécanismes de coopération transfrontière.

Ce texte est nécessaire du fait que le RGPD, bien que directement applicable, laisse une certaine marge de manœuvre aux Etats membres dans différents domaines.

En outre, il assure la transposition en droit français des dispositions de la directive du 27 avril 2016 relative à la protection des personnes à l’égard des traitements concernant les infractions pénales[i]. La directive établit les règles à respecter par les autorités compétentes lorsqu’elles traitent de données à caractère personnel (TDP) à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites ou d'exécution de sanctions pénales.

Sa promulgation (et donc son entrée en vigueur) est conditionnée à la décision attendue du Conseil constitutionnel, saisi par 60 sénateurs le 16 mai. En effet les sénateurs interrogeaient la conformité à la Constitution de certaines dispositions notamment celles relatives à la possibilité pour l’administration de prendre des décisions individuelles uniquement fondées sur des TDP y compris le profilage, sur la possibilité pour la CNIL d’infliger des sanctions à une collectivité territoriale ou encore sur les modalités d’effacement des données du fichier « traitement d’antécédents judiciaires »…

Notons déjà que le délai de transposition de la directive expirait le 6 mai et que les mesures appelées par le RGPD doivent être en vigueur le 25 mai, ce qui est d’ores et déjà fortement compromis.

Sur le fond, sans chercher l’exhaustivité, peuvent être listées certaines dispositions importantes de la loi qui, outre des mesures d’adaptation génériques applicables à l’ensemble des TDP (I), comporte des articles concernant plus particulièrement les données de santé (II). Par ailleurs, diverses mesures nécessiteront pour être mises en œuvre, des décrets d’application (III).

 I. Mesures d’adaptation génériques applicables à l’ensemble des TDP

La CNIL, autorité de contrôle nationale au sens du RGPD:

  • établit et publie des lignes directrices, des recommandations ou référentiels pour faciliter la mise en conformité des TDP, encourage l’élaboration de codes de conduite, homologue et publie les méthodologies de référence ;
  • établit et publie des règlements types en vue d’assurer la sécurité des systèmes de TDP et de régir les TDP biométriques, génétiques et de santé. Elle peut prescrire notamment des mesures techniques et organisationnelles supplémentaires pour ces TDP (art. 9. 4 RGPD) ;
  • peut certifier des personnes, des produits, des systèmes de données, des procédures qui seront ainsi reconnus conformes au RGPD. Elle agrée des organismes certificateurs sur la base de leur accréditation COFRAC. Elle élabore ou approuve les critères des référentiels de certification et d’agrément ;
  • peut établir une liste de TDP susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable (art. 70.4) ;
  • mène des actions de sensibilisation.

Conséquence directe du changement de positionnement de la CNIL, en application du principe d’accountability issu du RGPD, la plupart des formalités préalables d’enregistrement des déclarations et d’autorisation des traitements sont supprimées.

Ainsi, sauf pour les TDP contenant des données sensibles qui nécessitent une protection spécifique (données de santé notamment), le principe d'autorisation préalable s'efface au profit d'une déclaration de conformité au référentiel.

Parmi les diverses mesures, la loi établit à 15 ans l’âge du consentement numérique, ou encore autorise les actions de groupe destinées à faire cesser les manquements aux principes de la protection des données ou à obtenir réparation des dommages et préjudices.

S’agissant des contrôles, le texte proposé renforce les contrôles a posteriori .

A cet égard, les agents missionnés par la CNIL peuvent accéder à tous les documents nécessaires à l’exercice de leur mission. Seuls le secret professionnel entre l’avocat et son client, le secret des sources journalistiques et le secret médical peuvent leur être opposés. Pour préserver le secret médical, l’accès aux informations de santé doit se faire sous l’autorité et en présence d’un médecin.

Un chapitre VII bis précise les modalités de coopération entre autorités nationales, que ce soit en tant qu’autorité chef de file[ii] ou lorsqu’elle prête son concours à d’autres autorités : la CNIL met en œuvre les procédures de coopération et d’assistance mutuelle avec les autorités de contrôle des autres Etats membres et réalise avec celles-ci les opérations de contrôle conjointes.

Concernant le régime des sanctions,  harmonisation avec les montants d’amendes administratives fixés par le RGPD.

Le chapitre VII indique les sanctions et mesures pouvant être prises par la CNIL (en formation restreinte) : avertissement, mise en demeure, puis après procédure contradictoire, rappel à l’ordre, injonction de se mettre en conformité, limitation, interdiction ou retrait d’une autorisation, retrait d’une certification, injonction à l’organisme certificateur de refuser ou retirer une certification, suspension des flux de données vers des pays tiers, suspension de la décision d’approbation des BCR (règles d’entreprises contraignantes), amendes administratives portées de 3 millions à 10 millions d’euros ou 2% du chiffre d'affaires annuel mondial de l’entreprise, montant pouvant être doublé dans certains cas d’atteintes graves à la protection des droits des personnes.

Il définit également la procédure d’urgence et ses modalités.

Concernant les TDP relatifs à la prévention et détection des infractions pénales :

Le chapitre XIII assure la transposition de la directive du 27 avril 2017relative aux TDP mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites, ou d’exécution de sanctions pénales.

Les autorités compétentes et les responsables de traitement prennent toute mesure permettant d’assurer la mise à jour, l’exactitude, l’exhaustivité, et le cas échéant de garantir que les données inexactes, incomplètes ou plus à jour soient effacées ou rectifiées, et ne soient pas transmises.

Le texte rappelle encore que ces TDP assurent la proportionnalité de la durée de conservation.

Ce chapitre traite également des modalités de transfert hors UE des données contenues dans ces TDP.

Habilitation à prendre des ordonnances

Enfin, l’article 32 de la loi habilite le gouvernement à prendre par ordonnance, dans les 6 mois à compter de la promulgation de la loi, les mesures nécessaires à la réécriture de la LIL pour y apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence de la réglementation nationale avec le RGPD, pour harmoniser l’état du droit et remédier aux erreurs éventuelles et omissions de la loi.

 

 II. S’agissant plus particulièrement des données de santé

Traitement de données sensibles – données de santé

La loi (art. 8) reprend la définition des données sensibles issue du RGPD. Les données biométriques et génétiques sont des données sensibles au même titre que les données de santé.

La notion de donnée de santé renvoie aux données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris aux prestations de santé qui révèlent des informations sur l'état de santé de cette personne.

Un nouveau chapitre IX de la LIL regroupe les différentes règles et principes applicables à la mise en œuvre de traitements contentant des données de santé.

La CNIL établit des référentiels et règlements types en concertation avec l’institut national des données de santé (INDS), auxquels les responsables de TDP doivent se conformer. Ils adressent à la CNIL une déclaration attestant de la conformité de leurs traitements à ces référentiels.

Les TDP non conformes aux référentiels ne peuvent être mis en œuvre qu’après autorisation de la CNIL. La CNIL vérifie si les TDP sont conformes aux dispositions du chapitre IX et s’ils sont justifiés par une finalité d’intérêt public.

L’autorisation est réputée acquise en l’absence de réponse de la CNIL à l’issue d’un délai de 2 mois, sauf cas nécessitant un avis préalable de l’INDS, du comité de protection des personnes, ou du comité d’expertise pour les recherches études et évaluations dans le domaine de la santé (TDP ayant une finalité de recherche, d’étude ou d’évaluation dans le domaine de la santé).

Est également décrite la procédure applicable aux TDP à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, notamment les procédures d’avis préalables auprès de l’INDS, des comités de protection des personnes (CPP), ou du comité d’expertise pour les recherches études et évaluations dans le domaine de la santé. A cet égard, la loi allège les formalités, notamment en instituant auprès de l’INDS un secrétariat unique pour le dépôt de ces dossiers de recherches.

Par ailleurs, les TDP dans le domaine de la santé mis en œuvre par les organismes chargés d’une mission de service public ayant pour seule finalité de répondre en cas d’urgence à une alerte sanitaire et d’en gérer les suites sont uniquement tenus de réaliser une étude d’impact préalable (PIA).

Ne sont toutefois pas soumis au chapitre IX, les TDP :

  • pour lesquels la personne a donné son consentement et nécessaires à la sauvegarde de la vie humaine,
  • nécessaires aux fins de la médecine préventive, de diagnostic, de traitement ou de soins,
  • permettant d’effectuer des études à partir des données issues des TDP de soins, diagnostic, prévention,
  • nécessaires à la prise en charge des prestations par des organismes d’assurance maladie complémentaire,
  • effectués par les médecins responsables de l’information médicale (DIM),
  • effectués par les ARS pour le suivi d’activité des établissements de santé.

 

Traitements de données utilisant le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR)

L'article 11 de la loi porte plus spécifiquement sur l’utilisation du NIR, communément appelé numéro de sécurité sociale. Un décret en Conseil d'État, pris après avis de la Cnil, définira les catégories de responsables de traitement et les finalités pour lesquelles le NIR peut être utilisé.

Ces restrictions ne sont pas applicables aux TDP utilisant le NIR qui ont :

  • Une finalité de statistique publique uniquement ;
  • Une finalité de recherche scientifique ou historique ;
  • Pour objet de mettre à la disposition des usagers de l’administration un télé service de l’administration électronique.

Ces TDP font l’objet d’une opération cryptographique permettant de substituer au NIR un code statistique non signifiant.

On compte également, parmi les différentes mesures de cette loi applicables aux données de santé, la sécurisation du recours à des prestataires extérieurs pour le codage ou l'audit des données du programme de médicalisation du système d'information (PMSI).

  • Dispositions nécessitant des décrets d’application

Différentes dispositions de la loi nécessiteront des textes d’application, notamment :

  • la détermination des catégories de responsables de traitement et les finalités des traitements pouvant utiliser le NIR ;
  • la fréquence de renouvellement du cryptage du NIR ;
  • la procédure de contrôle lorsque la CNIL est autorité chef de file ;
  • la procédure d’urgence contradictoire de la CNIL en cas de constat de violation des droits et libertés ;
  • les conditions de sous-traitance pour les TDP à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales ;
  • les traitements mis en œuvre pour le compte de l’État qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ;
  • les modalités de contrôle de services de communication au public en ligne par les agents de la CNIL…

A ce stade, la date de parution de ces décrets est encore inconnue.

 

[i] Directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

[ii] Autorité compétente dans l’Etat membre ou l’établissement contrôlé a son établissement principal, qui assurer une coordination des opérations de contrôle portant sur des traitements transfrontaliers

Rejoignez-nous !

PBA.LEGAL

 Conjuguons nos talents !

Attachés à la diversité et à l'excellence, nous accueillons volontiers de nouveaux talents, prometteurs ou reconnus.

(avocat(e)s, stagiaires, assistant(e)s juridiques)

 

 

N'hésitez pas à nous envoyer votre candidature.

contact@pba.legal
 +33 (0)1 44 94 98 98
8, place Vendôme, 75001 Paris

Parking Indigo - Paris Vendôme
   28 pl. Vendôme, 75001 Paris

       

PBA.LEGAL

Copyright © 2024 PBA Legal. Tous droits réservés - Mentions légales