[box style=”5″]
Au cours de la conférence organisée le 1er décembre 2017 par l’Association du Droit de l’Informatique et de la Télécommunication (AFDIT) à Marseille sur la mise en œuvre et les impacts économiques du Règlement Général sur la Protection des Données (RGPD), des représentants du Ministère de la Justice, du Conseil d’Etat et de la CNIL sont intervenus pour présenter leur vision des enjeux liés à la mise en conformité au règlement. Le Ministère de la Justice a présenté les aspects principaux qui seront abordés par le projet de loi sur l’adaptation de la loi « Informatique et Libertés » au RGPD, qui sera présenté prochainement au Parlement. La CNIL, quant à elle, a voulu rassurer les acteurs quant à l’entrée en vigueur du règlement, en assurant qu’elle ne comptait pas lancer d’offensive au contrôle de la conformité dès son entrée en vigueur, et en détaillant les différentes mesures d’accompagnement qu’elle compte proposer aux entreprises. Le représentant du Conseil d’Etat est quant à lui revenu sur les enjeux liés aux sanctions pour défaut de conformité aux règles introduites par le RGPD.
[/box]
Le Règlement Général sur la Protection des Données, adopté le 27 avril 2016 et applicable à partir du 25 mai 2018, effectue plus de 50 renvois aux Etats membres pour leur permettre de définir avec plus de précision certaines de ses dispositions, et éventuellement d’aller plus loin dans la protection des données. C’est pour répondre à ces renvois et pour réorganiser le cadre juridique national sur le traitement des données à caractère personnel que le Gouvernement prépare un projet de loi, actuellement en cours d’examen au Conseil d’Etat.
Emmanuel Laforêt, adjoint au chef de bureau du droit constitutionnel et du droit public général (Ministère de la Justice), a précisé le calendrier de la procédure législative : l’échéance ultime étant le 25 mai 2018, le projet sera examiné en conseil des ministres en décembre, et déposé au Parlement en janvier. Le projet de loi abordera notamment les questions relatives à l’âge à partir duquel le consentement au traitement des données est considéré comme valable, aux formalités préalables à la mise en place d’un traitement de données personnelles, et au renforcement des pouvoirs de la CNIL. Le projet de loi sera ensuite complété par une ordonnance, qui traitera entre autres des conditions de nomination des délégués à la protection des données, et de leurs missions, responsabilités et conditions d’exercice.
Paul Hébert, directeur adjoint de la conformité à la CNIL, a pour sa part précisé certaines mesures qui devront être prises par les entreprises avant l’entrée en vigueur du règlement. Il enjoint ainsi les entreprises et leurs sous-traitants d’effectuer des inventaires des données personnelles qu’ils traitent, en effectuant des études d’impact pour les traitements à haut risques et en assurant la traçabilité des transferts de données personnelles en-dehors de l’Union européenne. De plus, il recommande de procéder à une documentation des droits conférés aux individus dont les données personnelles sont traitées, afin de pouvoir prouver que celles-ci ont été informées du traitement et y ont donné leur consentement. L’exercice par ces individus de leurs droits (droit d’accès aux données, droit d’opposition au traitement et droit à la suppression des données) devront également être précisément documentés.
Il précise également que la CNIL n’a pas pour projet de distribuer des sanctions aux entreprises dès l’entrée en vigueur du règlement. Le pouvoir de sanction des autorités de contrôle (qui a été considérablement augmenté avec le RGPD, pouvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial) sera utilisé avec « parcimonie ». Pour Paul Hébert, « un grand pouvoir implique une grande responsabilité », et il reviendra à la CNIL d’accompagner la mise en conformité, avec l’élaboration de normes sectorielles, de référentiels, recommandations et bonnes pratiques, autant que de contrôler cette conformité.
Jean-Luc Sauron, conseiller d’Etat, est revenu sur le caractère administratif des sanctions prévues par le règlement, qui n’excluent pas le recours d’un justiciable lésé en responsabilité pénale. Il a souligné l’importance d’une harmonisation de la politique de détermination des sanctions et de la jurisprudence pénale entre les autorités de contrôle et les juridictions européennes, afin d’éviter le « forum shopping ».
