Le projet de loi relatif à la protection des données personnelles
L’exposé des motifs du projet de loi rappelle le vote du « paquet européen de protection des données », adopté par le Parlement européen et le Conseil le 27 avril 2016. Le « paquet européen de protection des données » se compose de deux textes : un règlement, applicable à compter du 25 mai 2018, et une directive qui doit être transposée d’ici le 6 mai 2018. L’articulation entre la directive et le règlement est précisée par le considérant 12 de la directive.
1°) Le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
Le règlement conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi du 6 janvier 1978 (notamment le droit d'information des personnes), et en crée de nouveaux comme le droit à l’effacement ou « droit à l'oubli » et le droit à la portabilité des données.
Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données.
2°) La directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.
Ses principales dispositions sont l’instauration :
- d’un droit à l’information de la personne concernée par les données personnelles traitées ;
- d’un droit d’accès, de rectification et d’effacement s’exerçant par principe de manière directe, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.
La directive précise également les conditions applicables aux transferts de données à caractère personnel vers les autres États et vers des entités privées au sein d’États tiers en instaurant un mécanisme à plusieurs niveaux.
Le rôle de la Cnil est revu
Le règlement prévoit la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d'un système de contrôle a priori de la CNIL, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques. En contrepartie, la CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'organisme concerné.
A lire aussi : 40 années de Cnil – Le Monde
I - L’application législative en France du RGDP
Le règlement étant directement applicable, le projet de loi ne peut recopier ses dispositions.
Il en est ainsi des dispositions relatives au délégué à la protection des données. Toutefois, le règlement prévoit plus d’une cinquantaine de marges de manœuvre qui permettent aux États membres de préciser certaines dispositions ou de prévoir plus de garanties que ce que prévoit le droit européen.
Le présent projet de loi a pour objet d’assurer la mise en conformité de notre droit national avec ces nouvelles exigences.
Le Gouvernement a fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978.
1°) Les dispositions communes au règlement et à la directive du Parlement européen et du Conseil du 27 avril 2016 (titre I er du projet)
Il traite des dispositions communes au règlement et à la directive du Parlement européen et du Conseil du 27 avril 2016. Son chapitre I er concerne les dispositions relatives à la Cnil. L’article 2 modifie l’article 13 de la loi du 6 janvier 1978 pour prévoir que les deux personnalités qualifiées désignées par les présidents des deux assemblées parlementaires le sont au regard de leur connaissance du numérique mais également des questions touchant aux libertés individuelles, à l’instar des trois personnalités qualifiées nommées par décret.
2°) Les marges de manœuvre permises par le règlement
Elles sont traitées par le titre II du projet de loi. Quelques aspects :
Le règlement exige que soit déterminé avec précision le champ d'application de la loi nationale. Tel est l'objet de l'article 8 du chapitre Ier du projet de loi.
Le chapitre II contient des dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements. Actuellement, les traitements de données à caractère personnel sont, par principe, soumis à un régime déclaratoire. La nouvelle logique de responsabilisation prévue par le règlement conduit à supprimer la plupart des formalités préalables.
L'article 9 du projet de loi supprime ainsi le régime de déclaration préalable prévu aux articles 22 à 24 de la loi du 6 janvier 1978. les responsables de traitement devront donc mener une analyse d'impact afin de mesurer le risque en matière de protection des données, et, le cas échéant, consulter la CNIL lorsque le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque. Cet article supprime également les formalités préalables prévues à l’article 27 et les formalités préalables prévues par les articles 25.
Le chapitre III traite des obligations incombant aux responsables de traitements et sous‑traitants.
Le chapitre IV traite des dispositions relatives à certaines catégories particulières de traitement.
Son article 11 précise les conditions dans lesquelles le législateur entend autoriser le traitement de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes et prévoit ainsi des garanties appropriées pour les droits et libertés des personnes concernées qui découlent de l'article 10 du règlement.
L’article 14 tire parti de la marge de manœuvre prévue au b) du 2 de l’article 22 du règlement, pour ouvrir plus largement la possibilité pour l’administration de recourir à des décisions automatisées (prises sur le fondement d’un algorithme), à la condition d’offrir d’importantes garanties en contrepartie, en matière d’information pleine et entière des personnes, de droits de recours et de données traitées et de maîtrise par le responsable du traitement algorithmique et de ses évolutions.
L’article 15 complète l’article 40 de la loi du 6 janvier 1978 pour utiliser la marge de manœuvre prévue à l’article 23 du règlement relatif à la limitation de certains droits des personnes concernées. Cet article prévoit la possibilité pour le droit national de limiter, par la voie de mesures législatives, la portée des obligations et des droits des personnes concernées (droit à l’information droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité, droit d’opposition, etc.), lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs (sécurité nationale, défense nationale, sécurité publique, prévention et la détection d'infractions pénales, protection de l'indépendance de la justice et des procédures judiciaires, objectifs importants d'intérêt public général de l'Union ou d'un Etat membre,…).
Le chapitre V traite des voies de recours.
La loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle a introduit une action de groupe en matière de protection des données à caractère personnel.
3°) Le titre III
Il concerne les dispositions portant transposition de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016.
II - La mise en pratique du RGDP
Communication, publication, réutilisation des données : rappel des règles générales
Avant d'être communiqués, les documents administratifs doivent être expurgés de tout secret protégé au titre des articles L.311-5 et L.311-6 du CRPA (code des relations entre le public et l’administration) : secret de la vie privée, secret industriel et commercial, secret médical, jugement de valeur, etc..
Pour être publiés en ligne, mais aussi réutilisés, ils doivent en outre ne comporter aucune donnée à caractère personnel, c'est-à-dire permettant l'identification directe ou indirecte de personnes physiques.
Cependant, les administrations ne sont tenues de les communiquer et de les publier que s'il est possible d'occulter ou de disjoindre les mentions non communicables et non publiables : la Cada considère qu'un document comportant un très grand nombre de mentions couvertes par un secret et dont l'occultation s'avérerait difficile pour l'administration peut être regardé comme non communicable. Voir par exemple cet avis de 2009 : avis n°20090682.
Afin de permettre l'exercice le plus effectif possible des droits de l'open data, les collectivités devront veiller à ce que leurs outils de traitement permettent de rendre facilement communicables, publiables et réutilisables les documents administratifs et les informations publiques qu'ils contiennent.
La règle de minimisation
Elle figure à l'article 5 1 c) du RGPD : « Les données à caractère personnel doivent être (...) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».
Seules les données à caractère personnel qui sont strictement indispensables au regard de chaque finalité spécifique du traitement doivent être traitées. La minimisation s'applique à tous les niveaux : quantité de données à caractère personnel récupérées, étendue de leur traitement, durée de conservation et accessibilité.
La pseudonymisation
Considérant n°26 de l'introduction du RGDP : « Il y a lieu d'appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. »
Le terme d'anonymisation est réservé aux opérations irréversibles. On utilise celui de pseudonymisation si l'opération est réversible. Le RGPD recommande de mettre en œuvre la pseudonymisation dès que possible, soit dès lors que l'exploitation des données sous une forme identifiante n'apparaît pas nécessaire à la réalisation de la finalité poursuivie.
Le responsable du traitement est celui qui définit les finalités et moyens du traitement des données à caractère personnel.
Garanties techniques
Il incombe au responsable du traitement, durant la phase de détermination des moyens, de concevoir des outils et règles d'organisation garantissant la protection des données personnelles. C'est le principe de « privacy by design » ou protection des données personnelles dès la conception des traitements, consacré à l'article 25 du RGPD intitulé « Protection des données dès la conception et protection des données par défaut ».
Certification
Le RGPD (considérant n°77 du RGDP) prévoit, du reste, la possibilité d'instaurer un mécanisme de certification du respect des principes de « privacy by design » et « by default » (1). En France, les labels octroyés par la Cnil, notamment de gouvernance, pourraient remplir cet office.
- (principe selon lequel l'utilisateur ne doit pas être obligé d'engager des démarches pour activer sa protection).
Les guides PIA de la CNIL font peau neuve et s’adaptent au RGPD
Qu’est-ce qu’un PIA ?
Un PIA (Privacy Impact Assessment - analyse d’impact sur la vie privée, ou analyse d’impact relative à la protection des données - Data Protection Impact Assessment- DPIA) a pour objectif de construire et de démontrer la mise en œuvre des principes de protection de la vie privée.
Quand faut-il un PIA ?
Avec le RGPD et son application en mai 2018, mener un PIA est obligatoire si le traitement est susceptible d’engendrer des risques élevés sur les droits et libertés des personnes concernées.
Accompagnment et guide de la Cnil
Pour accompagner la nouvelle version du logiciel PIA, la CNIL publie une nouvelle version de ses guides PIA complétés par une adaptation de la méthode PIA au contexte des objets connectés et une étude de cas sur un moniteur de sommeil... Pour en savoir plus sur le PIA et les exigences règlementaires, nous vous invitons à consulter la FAQ sur les guidelines DPIA. CNIL - 2018-02-27
3 réactions à cet article
-
Lire la suite ▼En résumé (source : Direction de l’information légale et administrative (Premier ministre)
À partir du 25 mai 2018, toutes les entreprises doivent être en conformité avec le règlement européen sur la protection des données personnelles (RGPD), sous peine de sanctions. Elles doivent préparer une analyse d’impact en s’appuyant sur les outils d’aide mis à disposition par la Cnil.
Le cadre des traitements de données personnelles à mettre en place par les entreprises inclut notamment les traitements portant sur les salariés. Ces nouvelles règles seront directement applicables le 25 mai 2018.
La Commission nationale de l’informatique et des libertés (Cnil) prévoit des outils d’aide pour la transition vers ce nouveau cadre juridique et renforce l’accompagnement des professionnels dans leurs démarches.
Ce qui ne change pas :
La Cnil continuera de procéder à des vérifications dans les locaux des organismes (en ligne, sur audition et sur pièces) ;
La décision de réaliser un contrôle s’effectuera sur la base du programme annuel des contrôles, des plaintes reçues par la Cnil, des informations figurant dans les médias ou pour faire suite à un précédent contrôle ;
Les principes fondamentaux de la protection des données tels que la loyauté du traitement, la pertinence des données, la durée de conservation, la sécurité des données notamment, continueront à faire l’objet de vérifications par la Cnil ;Ce qui change à partir du 25 mai 2018 :
Des nouvelles obligations et de nouveaux droits seront mis en place : droit à la portabilité, analyses d’impact, registre, délégué à la protection des données personnelles notamment ;
L’analyse d’impact devra être effectuée avant la mise en œuvre de tout traitement de données susceptible de présenter un risque élevé (répertorier les traitements selon qu’ils sont soumis ou non à une analyse d’impact) ;
Les pouvoirs de sanction de la Cnil seront renforcés ;
Certaines formalités préalables pour l’adoption d’une démarche de conformité continue auprès de la Cnil (déclarations, autorisations) disparaîtront.
Les droits des citoyens seront renforcés (meilleure maîtrise de leurs données).Les règles du RGPD seront précisées et complétées par un projet de loi.
-
Lire la suite ▼Le règlement européen est protecteur par rapport au droit des autres pays du monde. Mais il existe un autre danger : les clouds non souverains...
Voir par exemple ceet article : « Haro sur la vie privée » (publié le 1er Mars 2018 par le site Atlantico)
Résumé : Le site indique que Apple a cédé aux exigences chinoises. En effet, depuis le 28 février 2018, Pékin n’a plus à demander l’autorisation aux autorités américaines pour avoir accès aux données personnelles des comptes utilisateurs chinois, puisque leur stockage se fera désormais à l’intérieur des frontières du pays. Quelles peuvent être les conséquences directes pour les données des utilisateurs chinois, in fine, si l’on se base sur le cas de Yahoo en 2005 ?
Il y a une dizaine d’années en effet, Yahoo laissait le régime chinois accéder aux données de ses utilisateurs. L’entreprise américaine avait ainsi rendu possible l’arrestation puis l’emprisonnement consécutif de deux opposants politiques chinois.
Sous la pression d’une possible interdiction des ventes ou l’abandon de ses services de Cloud dans le pays, Apple se retrouve elle aussi aujourd’hui confrontée à ce dilemme. La firme tourne le dos à ses valeurs fondamentales. Elle stockera donc désormais en République populaire de Chine, les clés numériques de chiffrement qui permettent de débloquer les comptes utilisateurs chinois de son service iCloud.
C’est bien entendu dans une optique business qu’Apple se soumet expressément à la nouvelle législation chinoise promulguée en 2017, et qui impose que toutes les données collectées auprès des utilisateurs locaux restent hébergées sur le sol national.
Le régime dispose donc, dès à présent, d’un accès privilégié – « premium » diront certains – à toutes les informations personnelles de ses ressortissants, sans s’astreindre aux contraintes du droit américain.
Sur la question inquiétante des clouds, lire ici mon article : « fonctionnaires, vos mails sont des trésors nationaux ».-
@Ratatouille
Mais non, Ratatouille, ne te transforme surtout pas en pierre tombale !
Rosnay a peu développé le contenu de son livre, « la symphonie du vivant », il est vrai. C’était un peu court. On peut le revoir sur cette vidéo.
En ce qui me concerne, je prépare une thèse en forme d’article (très bientôt) : « la symphonie de l’être ». C’est une thèse audacieuse qui n’aura rien de scientifique. Plutôt poétique et philosophique.
-
-
Ajouter une réaction
Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page
Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.
FAIRE UN DON
