Le 30 novembre dernier, la Commission nationale de l’informatique et des libertés (CNIL), saisie par le ministre de la justice d’une demande d’avis concernant le projet de loi d’adaptation au droit de l’Union européenne de la loi du 6 janvier 1978, en vertu de l’article 11-4°-a) de cette dernière, est venue éclairer le dit projet de loi, de ses conseils et critiques indiquant tout de même, dans ses observations d’ordre général, que « le projet de loi qui lui est soumis remplit globalement l’objectif principal qui lui était assigné ». Le projet de loi envisagé a pour objectif de mettre en conformité le droit national avec le « paquet européen de protection des données » (composé d’un règlement et d’une directive) qui a été adopté par le Parlement européen et le Conseil le 27 avril 2016. Alors que l’entrée en vigueur le 25 mai prochain du Règlement européen relatif à la protection des personnes physiques à l’égard des données à caractère personnel (RGPD) ne cesse de faire parler d’elle, celle de la Directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuites en la matière ou d’exécution de sanctions pénales (la Directive) est, quant à elle, souvent passée sous silence. Pourtant, comment ne pas y prêter attention, alors que celle-ci, pour être appliquée, contrairement au RGPD dont l’application sera directe dans les Etats membres de l’Union européenne, devra faire l’objet de mesures de transpositions et ce, au plus tard le 6 mai 2018. C’est dans ce cadre, de contrainte de temps, que le projet de loi, sur lequel se prononce la CNIL, s’inscrit. Cependant, bien que l’objectif d’adaptation semble atteint, selon les dires de la CNIL, le projet de loi sera-t-il réellement limpide pour des responsables de traitements qui désormais, et ce, en vertu du principe d’accountability, devront être dans une logique de « conformité continue » ?
Vers un objectif d’adaptation du droit de l’Union européenne :
Le projet de loi opère un renforcement des pouvoirs de la CNIL traduisant le changement de paradigme opéré par le RGPD allant dans le sens de la consécration du principe d’accountability. En vertu de ce principe (consacré à l’article 24 du RGPD), principe d’origine américaine, il incombe aux responsables de traitement de données à caractère personnel de se trouver en conformité, de façon continue, aux exigences européennes, tout en étant dans la capacité de démontrer cette conformité (par le biais notamment de la démonstration de la réalisation d’une analyse d’impact consacrée à l’article 35 du RGPD), c’est dans ce cadre que les pouvoirs de la CNIL ont été renforcés. Ainsi, le projet de loi réduit le contrôle qui était effectué en amont par la CNIL consacré dans la loi de 1978 qui reposait essentiellement sur une logique de formalités préalables (des déclarations devaient lui être soumises et des autorisations devaient obtenir son approbation) pour renforcer son intervention en aval, en la dotant d’outils (codes de conduite, certificats, analyse d’impact et règlements types de sécurité) qui permettront l’aide à la mise en conformité des responsables de traitements. De plus, la CNIL dispose désormais de la possibilité d’édicter des outils dits de « droit souple ou d’interprétation de l’état du droit » qui seront en fait des guides permettant aux responsables de traitement d’être informés sur ce que la CNIL estime « conforme à la loi du 6 janvier 1978 et au RGPD à un moment donné » afin de se mettre au mieux en conformité et de limiter les risques de condamnations puisque désormais, en vertu de l’article 83 du RGPD, la CNIL aura la possibilité de prononcer des sanctions administratives à l’encontre des responsables de traitements pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’entreprise responsable. Bien entendu, ces outils « juridiques » auront vocation à évoluer dans le temps. Et on peut alors se réjouir de ce rôle que tiendra la CNIL, ceci allant dans le sens d’une aide qui sera fournie aux responsables de traitements qui ne se retrouveront pas seuls devant la lourde tâche qui leur incombe.
Bien que ses pouvoirs soient accrus du fait du changement de paradigme, la CNIL émet cependant quelques recommandations en estimant par exemple que l’article relatif à ses missions devrait être étendu « [aux] textes relatifs à la protection des données à caractère personnel ». En effet, l’article en question ne fait pour l’instant que référence à « la présente loi et au Règlement (UE) 2016/679 », alors que le Règlement dit « e-privacy » entrera prochainement en vigueur, nécessitant lui aussi l’élaboration de dispositions dites de droit souple permettant une plus grande lisibilité de ses dispositions. En effet, la CNIL, étant l’organe en charge de veiller à la protection des données à caractère personnel, devrait disposer, au titre de ses missions, d’une compétence générale élargie à la protection des données personnelles et non pas seulement aux deux textes pré-cités.
De plus, concernant l’édiction de règlements types à laquelle peut procéder la CNIL au titre des conditions supplémentaires ou des garanties que le droit national peut introduire pour certains traitements de données telles que les données biométriques, génétiques et de santé ou pour les données d’infraction, la CNIL soulève le fait qu’en la matière, elle ne peut qu’édicter des recommandations, qui n’ont donc aucune valeur juridique contraignante, alors que les données évoquées sont des plus sensibles et qu’elles nécessiteraient des normes juridiques dites « de droit dur » pour protéger au mieux les droits des personnes. Cependant, cela reviendrait à donner à la CNIL un pouvoir d’édicter des normes juridiques à l’instar du législateur. C’est d’ailleurs peut-être pour cela que celle-ci suggère en commentaire de l’article 6 du projet de loi relatif aux mesures correctrices de procéder au changement de son nom. Cependant, il est peu probable que le Gouvernement dote la CNIL d’une telle compétence, bien que cela puisse être opportun dans le domaine de la protection des données personnelles, puisque c’est elle qui est sûrement la mieux à même de légiférer en la matière. Mais l’on pourrait peut-être imaginer que le Gouvernement donne à la Commission un rôle dans l’élaboration de normes relatives à ces données sensibles, ne l’excluant ainsi pas totalement du processus législatif.
Enfin, la CNIL relève que le projet de loi devrait être complété concernant sa participation aux instances européennes et internationales compétentes en matière de protection des données. En effet, pour l’instant, la possibilité de participer au Comité européen de la protection des données (qui remplace le G29) n’est possible que sur demande du Premier ministre en vertu de l’article 11 4° d) de la loi de 1978. Or, la CNIL voudrait pouvoir participer à ces instances directement sans passer par le biais d’une demande du Premier ministre. Elle voudrait que cela soit prévu expressément dans les textes, cela s’inscrivant notamment dans l’optique d’une coopération européenne entre les autorités de contrôle européennes compétentes en matière de protection des données à caractère personnelle.
Un des autres grands objectifs du RGPD est de procéder à une coopération européenne entre les Etats membres de l’Union concernant la protection des données à caractère personnel, afin d’appliquer une législation harmonisée en la matière sur le territoire de l’Union européenne, par la création d’un Comité européen de la protection des données (création prévue à l’article 68 du RGPD), dont l’une des missions principales est de « veille[r] à l’application cohérente du [RGPD] » (article 70 du RGPD). La CNIL attire l’attention sur le fait que le projet de loi n’est pas allé assez loin dans l’adaptation des dispositions européennes notamment concernant la saisine du CEPD. En effet, la CNIL estime que ses différents organes (et pas seulement le Président de la Commission ainsi que la formation restreinte) devraient être en mesure de pouvoir saisir le CEPD en cas de désaccord entre les autorités nationales comme le prévoit l’article 65 du Règlement ce qui constituerait ainsi des possibilités de saisine supplémentaire, ceci allant dans une protection maximale des données à caractère personnel puisque toute instance de la CNIL pourrait saisir la plus haute autorité européenne compétente en la matière.
De plus, concernant le contrôle conjoint qui existe entre les autorités (en vertu de l’article 62 3° du RGPD), la CNIL soulève le fait que la loi devrait créer la possibilité pour les membres et agents des autres autorités nationales de contrôle de pouvoir poser des questions à l’organisme contrôlé en vertu du pouvoir d’enquête dont ils disposent. Or, pour l’instant, le projet de loi « cantonne [c]es membres et agents […] à un rôle de simple observateur ». Ainsi, la CNIL propose d’une part de conserver le principe d’une participation des agents des autres autorités de contrôle lorsque la CNIL procède à des investigations lors d’opérations conjointes et d’autre part que la loi donne au Président de la CNIL le pouvoir de fixer le périmètre des pouvoirs d’enquête des agents des autres autorités de contrôle, sachant qu’ils ne pourront avoir des pouvoirs qui excèdent ceux des agents de la CNIL. Ceci démontre bien la volonté de la CNIL de mettre les autorités de contrôle des autres Etats membres de l’Union européenne sur le même pied d’égalité qu’elle, en se soumettant à leur contrôle, à leurs agents, qui pourraient avoir les mêmes pouvoirs que ses propres agents. Cependant, elle espère en retour que les autres autorités de contrôle lui rende « la pareille » en dotant les agents de la CNIL de pouvoirs d’investigations équivalents à ceux qu’elle veut bien octroyer.
La mise à mal de l’objectif du fait de choix légistiques complexes:
La première critique que l’on peut adresser à ce projet de loi, et qui n’est pas des moindres, concerne ses objectifs qui ont pour vocation à faire la synthèse entre trois corpus de règles de nature juridique différente. En effet, ce projet de loi a l’ambition à la fois de conserver la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, en n’en modifiant que certains articles afin de la rendre compatible avec le droit de l’Union européenne, de transposer les dispositions de la Directive pré-citée, ainsi que de légiférer sur les marges de manœuvres prévues par le RGPD (qui sont au nombre de cinquante environ). En effet, ce projet de loi ne procède pas, comme le souligne, à regret, la CNIL à « un réexamen global du droit de la protection des données en France », ce qui aurait peut-être été opportun plutôt que de conserver un texte « ancien », qui parfois, et paradoxalement à son entrée en vigueur qui est assez « ancienne », va plus loin que les exigences posées dans le Règlement européen. A ce titre on peut citer par exemple, la désignation du délégué à la protection des données personnelles qui est consacrée à l’article 23 nouveau du projet de loi qui d’ailleurs reprend des dispositions déjà existantes dans la loi concernant l’information des instances représentatives du personnel de la désignation du délégué, alors que cette information n’est pas prévue par le Règlement au titre des marges de manœuvres qu’il donne aux Etats. De plus, il prévoit dans tous les cas, une publication des coordonnées du délégué, ce qui dès lors rend inutile l’information des instances représentatives du personnel. Un autre exemple peut encore être cité en la matière qui figure aux articles 10 et 22 du projet de loi, relatifs au délégué à la protection des données. En effet, le projet de loi maintient expressément la possibilité pour le DPO de saisir la CNIL en cas de difficultés qui seraient rencontrées dans l’exercice de ses missions. Or, selon la CNIL, le Règlement ne prévoit pas une telle faculté et estime nécessaire de se référer simplement aux dispositions du RGPD qui prévoit déjà que le délégué à la protection des données « coopère avec l’autorité » de contrôle et « fait office de point de contact » ce qui laisse suffisamment apparaître que le délégué sera de toute façon amené à traiter avec la CNIL en cas de difficultés. Ainsi, cela démontre bien que le projet de loi, n’a pas tenu compte du fait que la loi du 6 janvier 1978 allait parfois au-delà des exigences posées dans le RGPD.
En second lieu, on peut relever qu’il existe une articulation parfois difficile entre deux corps de règles différents, notamment entre le RGPD et la Directive. La CNIL soulève par exemple les problèmes d’adaptation de la loi liés à l’articulation entre le RGPD et la Directive dans l’article 7 du projet de loi relatif aux données sensibles. Cet article ayant pour vocation de modifier l’actuel article 8 de la loi du 6 janvier 1978 vise à l’adapter en vue de tenir compte des dispositions de l’article 9§1 du Règlement. Cependant le RGPD et la Directive ne retiennent pas les mêmes principes pour le traitement des données sensibles. La Directive dans son article 10 prévoit que le traitement des données sensibles est « autorisé uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée ». Ce qui la différencie du RGPD qui ne fait pas référence à ces principes concernant les données sensibles. Ainsi, dans un souci de protection maximale des données à caractère personnel, la CNIL estime que « la rédaction proposée n’est pas conforme à la Directive » puisqu’il ne transpose pas ses dispositions. Ce qui n’est pas le cas pour le RGPD dont l’application est directe et qui fait que le principe d’interdiction du traitement des données sensibles figurant à l’article 9 du RGPD sera également d’application directe.
En troisième lieu, la CNIL relève parfois des cas de transpositions incomplètes de dispositions de la Directive. L’exemple en est donné encore une fois aux articles 10 et 22 du projet de loi concernant le délégué à la protection des données. En effet, la CNIL relève que « s’agissant des missions du [délégué] telles que prévues dans la loi du 6 janvier » le projet de loi opère une transposition incomplète des dispositions de la directive sur deux points, elle estime dans un premier temps que « les deux premières missions du [délégué] ne visent que la présente loi et non pas comme l’indique la Directive « d’autres dispositions du droit de l’Union et du droit des Etats membres en matière de protection des données » » et dans un second temps que « la mission de « mener des consultations, sur tout autre sujet » de la Directive n’a pas été reprise » et qu’il faudra donc l’ajouter.
Ainsi, la CNIL se positionne en organe de contrôle qui veille à la bonne adaptation du droit de l’Union européenne en matière de protection des données à caractère personnel. Mais bien que ce contrôle semble être rigoureux, puisque la CNIL procède à une analyse article par article, un dernier degré de difficulté s’ajoute au reste du fait de « choix de légistique » nationale qui vont venir accroître les difficultés auxquelles le projet de loi fait déjà face puisqu’il sera procédé à la réécriture de l’ensemble de la loi du 6 janvier 1978 par le biais d’une ordonnance d’application ultérieure prévue par l’article 23 du projet de loi. Ceci ne plaidant pas du tout en faveur d’une lisibilité du texte. En effet, la CNIL souligne que la loi du 6 janvier 1978, non encore modifiée, pourra, à la date d’entrée en vigueur du « paquet européen » « induire en erreur le lecteur sur la portée de ses droits et obligations ». De plus, la CNIL relève que la loi du 6 janvier 1978 modifiée ne donnera finalement pas « de grille de lecture permettant aux citoyens et aux responsables de traitement les droits et obligations différenciés qui existeront demain dans les trois grands compartiments de la protection des données ». Ce qui est regrettable puisqu’en effet, trois corpus de règles sont en présence à savoir un règlement, une directive et des dispositions nationales et cela confine à la complexité qui, comme le souligne Olivia Tambou dans l’article « Que retenir du projet de loi relatif à la protection des données personnelles ? », publié dans la Revue droit de l’immatériel de janvier 2018, « rend plus que jamais indispensable le développement d’une véritable éducation citoyenne à la protection des données personnelles ». Ainsi, il reviendra à la CNIL de penser aux outils permettant cette éducation citoyenne.
SOURCES :
TAMBOU (O.), « Que retenir du projet de loi relatif à la protection des données personnelles ? Partie I : La profonde mutation du droit français de la protection des données personnelles », Revue Lamy Droit de l’immatériel, p45-p49, janvier 2018.
Délibération n° 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d’adaptation au droit de l’Union européenne de la loi n°78-17 du 6 janvier 1978 rendu par la Commission nationale de l’informatique et des libertés.
Projet de loi relatif à la protection des données personnelles, exposé des motifs. Consulté le 20 janvier 2018. https://www.legifrance.gouv.fr/affichLoiPreparation.do;jsessionid=AD5660270AD9F70B94275AC823321680.tplgfr22s_3?idDocument=JORFDOLE000036195293&type=expose&typeLoi=proj&legislature=15
Projet de loi relatif à la protection des données personnelles. Consulté le 20 janvier 2018. https://www.legifrance.gouv.fr/affichLoiPreparation.do;jsessionid=AD5660270AD9F70B94275AC823321680.tplgfr22s_3?idDocument=JORFDOLE000036195293&type=contenu&id=2&typeLoi=proj&legislature=15