Présenté le 13 décembre 2017 par Nicole Belloubet, garde des Sceaux, ministre de la Justice, le projet de loi relatif à la protection des données personnelles a été voté par l’Assemblée Nationale le
Dès lors, de nombreuses dispositions de ce projet ne concernent pas directement les établissements bancaires et financiers. C’est en particulier le cas des dispositions du titre III (articles 18 et 19 du projet) qui concernent la transposition de la directive déjà mentionnée ou encore de l’article 13 qui concerne le traitement des données de santé.
Les changements les plus importants pour le secteur résultent des nouveaux pouvoirs de la Cnil et notamment des dispositions relatives à l’opposabilité du secret aux agents de la Commission (2.), des dispositions spécifiques concernant certains traitements de données (3.) et de la possibilité d’engager une action de groupe afin d’obtenir l’indemnisation du préjudice subi (4.). À titre liminaire, il convient de s’arrêter sur le principe du maintien de la loi Informatique et Libertés en lui-même, qui n’est pas sans susciter des questions quant à l’intelligibilité du droit (1.).
1. Le maintien de la loi Informatique et Libertés
Le choix du législateur français a été de conserver la loi Informatique et Libertés pour des raisons historiques et dans un souci d’intelligibilité. Il s’agira donc de sa vingtième modification depuis son adoption le 6 janvier 1978.
Ce choix génère des problèmes de lisibilité des règles applicables en matière de protection des données personnelles en France. À défaut de texte global et consolidé, l’identification de ces dispositions nécessite un travail d’identification des articles supprimés et de reconstruction des règles applicables.
En outre, ce projet ne modifie pour l’instant le texte de la loi Informatique et Libertés qu’imparfaitement. On peut ainsi citer l’exemple de la définition des données à caractère personnel qui fait explicitement référence, dans la loi du 6 janvier 1978, aux moyens dont dispose le responsable du traitement pour procéder à l’identification de la personne physique à laquelle se rattachent des données personnelles, référence qui ne figure pas dans le RGPD ; ou celui de la définition du traitement que le Règlement complète en y ajoutant la notion de « structuration » et de « verrouillage », notions qui ne figurent pas dans la loi ; ou encore l’introduction dans le RGPD d’une définition des données de santé qui n’est pas reprise dans le projet de loi.
Ce projet aboutit également à la création de quelques « bizarreries », sources d’insécurité juridique pour l’ensemble des acteurs de la Place. Ainsi, le projet définit le champ d’application des spécificités locales qui seront applicables dès lors que « la personne concernée réside en France, y compris lorsque le responsable de traitement n’[y] est pas établi » (article 8) sans pour autant modifier l’article 5 de la loi Informatique et Libertés qui historiquement fixe ce champ d’application de ce texte. Dès lors, ces spécificités se retrouvent dotées d’un effet extraterritorial basé sur le critère de résidence de la personne concernée, alors que le Règlement pose un double critère : celui de la localisation des activités du responsable de traitement ou du sous-traitant et le critère de résidence des personnes concernées dans le cadre d’une offre de biens ou de services ou de suivi de leur comportement. On peut également mentionner l’absence de modification de l’article 32 de la loi portant sur l’obligation d’information des personnes concernées pour le rendre conforme aux dispositions du RGPD. Quid, dès lors, du contenu des mentions à mettre en place au 25 mai 2018 ?
Conscient qu’un travail de rédaction postérieur est nécessaire afin de donner aux règles de protection des données personnelles une meilleure lisibilité, le gouvernement a prévu de prendre par ordonnance les mesures nécessaires à la réécriture de la loi « afin d’apporter les corrections formelles » nécessaires. Cette ordonnance prise après avis de la Cnil devrait être adoptée dans un délai de six mois à compter de la promulgation de la loi et ratifiée dans un délai de six mois supplémentaires. En outre, le projet de loi prévoit, en l’état, l’adoption de dix décrets d’application et de trois arrêtés.
2. Les nouvelles prérogatives de la Cnil : quid de l’opposabilité du secret bancaire ?
Le statut de la Cnil, autorité indépendante dotée d’un pouvoir de sanction, est relativement proche des exigences du RGPD en la matière. Le projet de loi ne modifie donc qu’à la marge les pouvoirs de la Commission. Celle-ci est désormais investie du pouvoir d’établir et de publier « des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements […] avec les textes relatifs à la protection des données […] et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ». À ces outils vient s’ajouter l’adoption par la Cnil de « règlements types en vue d’assurer la sécurité des systèmes de traitement de données […] et de régir les traitements de données biométriques, génétiques et de santé ». L’introduction de ces dispositions apparaît liée à la suppression des formalités préalables. Le régime des formalités permettait à la Cnil de publier des autorisations uniques et des normes simplifiées, parfois regroupées sous l’appellation « pack de conformité ». Ces normes permettaient de diffuser la doctrine de la Commission sur des secteurs ou des problématiques données et donc de connaître sa position sur différents sujets. La quasi-suppression des formalités préalables aurait eu pour corollaire d’entraîner la disparition de ces normes qui pourront désormais survivre sous la forme de lignes directrices. Les normes applicables au secteur bancaire telle que l’autorisation unique AU 003 relative à la lutte contre le blanchiment d’argent et le financement du
La Cnil se voit également investie d’une nouvelle mission de certification « des personnes, des produits et des systèmes de données ou des procédures » aux fins de reconnaître qu’ils sont conformes aux dispositions du Règlement. Comme le prévoit le RGPD, elle peut choisir de certifier elle-même ou de confier cette mission à des organismes tiers agréés.
Le texte modifie les pouvoirs de contrôle de la Cnil. Les agents pourront désormais procéder à des contrôles dans des « lieux, locaux, enceintes, installations ou établissements » et non plus simplement dans des « locaux professionnels privés ». Ils peuvent toujours se faire communiquer tous documents nécessaires à l’accomplissement de leur mission et accéder « dans des conditions préservant la confidentialité à l’égard des tiers » aux programmes informatiques et aux données collectées par les responsables du traitement ou les sous-traitants faisant l’objet d’un contrôle. Une des nouveautés porte sur le secret. L’article 4 du projet précise que « le secret ne peut […] être opposé [aux agents de la Cnil] sauf concernant les informations couvertes par le secret professionnel applicables aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou […] par le secret médical ». En ce qui concerne le secret médical, les agents de la Cnil pourront se faire assister d’un médecin.
Jusqu’à présent le secret bancaire était opposable à la Cnil. En cas de dépôt de plainte par une personne physique contre un établissement financier, il était considéré que le client procédait à la levée du secret bancaire vis-à-vis de la Cnil, autorisant ses agents à procéder à certaines vérifications concernant sa situation. Les agents n’étaient cependant pas autorisés à prendre connaissance des données des tiers, offrant à l’établissement la possibilité de leur opposer le secret bancaire. Or, bien que le texte de l’article L. 511-33 du Code monétaire et financier reste inchangé, il semblerait que ce secret ne soit plus opposable.
Les agents de la Cnil pourront également procéder à des contrôles en ligne sous une identité d’emprunt.
En termes de sanctions, le montant des amendes administratives susceptibles d’être prononcées par la Cnil est désormais aligné sur les montants prévus dans le cadre du Règlement. À noter également que le texte offre la possibilité à la Cnil d’assortir une injonction de mise en conformité d’une astreinte, ne pouvant dépasser 100 000 euros par jour.
3. Les conditions de mise en œuvre de certains traitements
Certains traitements restent soumis à un régime juridique spécifique.
Ainsi, le projet de
Le projet de loi maintient également l’obligation d’obtenir une autorisation préalable de la Cnil en cas de traitements comportant des données génétiques et biométriques, mais cette exception ne concerne que les traitements mis en œuvre par l’État agissant dans l’exercice de ses prérogatives de puissance publique.
Enfin, l’article 14 du projet de loi modifie les dispositions de l’article 10 de la loi Informatique et Libertés relatives aux décisions concernant des personnes physiques prises sur le seul fondement d’un traitement automatisé. Le projet tente d’aligner ces dispositions avec celles figurant à l’article 22 du RGPD et concernant les décisions individuelles automatisées. Tout en maintenant le principe d’interdiction prévu historiquement dans la loi, le projet introduit les deux exceptions prévues dans le RGPD et autorisant une décision automatisée lorsque celle-ci est nécessaire à la conclusion d’un contrat ou à l’exécution d’un contrat et lorsque la personne concernée y a consenti de manière explicite. À noter cependant que le RGPD impose dans ces hypothèses, des garanties de mise en œuvre pour sauvegarder les droits et libertés de la personne concernée. Le responsable du traitement doit au moins offrir à cette dernière la possibilité d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision. En outre, le projet de loi ajoute que « les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre soient communiquées […] par le responsable du traitement à l’intéressé s’il en fait la demande ». Ces dispositions ne s’appliquent pas aux secrets protégés par loi. Cette information renforcée pose question notamment quant à sa plus-value par rapport aux dispositions figurant déjà aux articles 13 et 14 du RGPD relatifs à l’information des personnes concernées. Ces articles prévoient, en effet, que le responsable du traitement ou le sous-traitant doit informer les personnes concernées en cas d’« existence d'une prise de décision automatisée, […] des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée ».
Il convient, enfin, de noter que ces dispositions figurent toujours au titre des « dispositions propres à certaines catégories de données », alors même que le RGPD les fait figurer dans les règles relatives aux droits des personnes concernées.
4. L’action de groupe à des fins d’indemnisation du préjudice
Le RGPD prévoit la possibilité d’introduire une action de groupe en matière de protection des données personnelles à des fins de réparation du préjudice et non plus simplement de cessation du
Le projet sera examiné au Sénat à compter du 20 mars prochain.
Achevé de rédiger le 14 mars 2018.
