Juridique & Affaires Publiques

La commission des lois demande une adaptation rapide du droit interne en matière de données personnelles

Mme Le Dain (SER) et M. Gosselin (LR) ont présenté ce matin en commission des lois leur rapport sur l’impact du « paquet données personnelles » européen sur la législation française. Les rapporteurs ont insisté sur la nécessité d’initier rapidement un processus législatif pour préparer le cadre juridique français à l’entrée en vigueur du Règlement général sur la protection des données le 25 mai 2018. Selon M. Gosselin, l’idéal serait que la prochaine législature dépose un projet dès juin, pour que le texte soit examiné en séance en septembre au plus tard. Le rapport a été adopté à l’unanimité par la commission des lois.

Le rapport, demandé par la commission des lois en novembre 2016, a pour objet l’impact sur la législation française du « paquet données personnelles », qui comprend le Règlement général sur la protection des données (RGPD) du 24 avril 2016 et la Directive sur le traitement des données policières et judiciaires du 27 avril 2016. Mme Le Dain a souligné la nécessité de réviser les textes nationaux applicables en la matière pour préparer la conformité française au RGPD surtout, qui institue une véritable « révolution » en la matière.

La loi pour une République Numérique du 7 octobre 2016 a déjà amorcé la mise en conformité avec les nouveaux textes européens, notamment sur les sujets du droit au déréférencement et du renforcement des pouvoirs de sanction de la CNIL, mais d’autres adaptations seront nécessaires. Le Règlement affirme une volonté d’harmoniser les législations nationales sur les données personnelles, législations divergentes dans l’Union suite à la transposition de la directive de 1995. Néanmoins, le nouveau texte confère aux Etats membres de larges marges d’adaptation. Le texte comprend une cinquantaine de renvois à la législation nationale pour déterminer les modalités de mise en œuvre de certaines dispositions.

Au nombre des modifications nécessaires identifiées par les rapporteurs figurent notamment la mise à jour de la procédure applicable dans l’organe juridictionnel de la CNIL. Les pouvoirs de celle-ci en matière d’enquête et d’adoption de mesures correctrices sont étendus par le Règlement. Par ailleurs, les rapporteurs identifient plusieurs points qui, s’ils n’imposent pas de mesures législatives précises, devraient retenir l’attention du législateur pour assurer la cohérence et l’efficacité des règles en matière de protection des données. Certains concepts comme le « risque élevé », « profilage », « impact », « dialogue » ou « prévision de risques », présents dans le Règlement, devraient faire l’objet d’une interprétation précise et stratégique pour permettre une mise en œuvre des dispositions à la fois performante et convergente au niveau européen. Ici encore, il est recommandé de suivre les orientations données par le G29.

Cette mise en place d’une coopération efficace entre les autorités nationales de contrôle est l’un des objectifs portés par le texte de règlement et l’un des points ou le législateur national disposera d’une large latitude. Mme Le Dain conseille de suivre attentivement les recommandations du Groupe de travail de l’article 29 sur ce point.

Enfin, le Règlement impose que les entreprises implantées dans plusieurs Etats membres aient une autorité de contrôle de référence. Mme Le Dain souligne qu’il ne pas laisser ces entreprises choisir l’autorité compétente en considération de leurs seuls intérêts (pratique du « forum shopping »). A cet égard, la France doit adopter des mesures suffisamment fermes pour assurer leur contrôle, tout en veillant à ne pas être un « repoussoir » réglementaire pour ces entreprises.

image_pdfimage_print