le 21/12/2017

Protection des données personnelles : le projet de loi vient d’être publié

Projet de loi relatif à la protection des données personnelles

Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018, soit dans cinq mois.

Pour être appliqué, chaque pays doit prendre une loi locale. En France, le projet de loi relatif à la protection des données personnelles vient d’être publié.

La Commission Informatique et Libertés (CNIL) et le Conseil d’Etat ont donné leur avis sur ce projet.

Le RGPD est directement applicable mais certains ajustements peuvent être décidés par le législateur national.

Il s’agit, notamment, de « l’âge à partir duquel un mineur peut consentir une offre directe de services de la société numérique », fixé à 16 ans au niveau européen mais qui peut être abaissé jusqu’à 13 ans. Le Gouvernement a décidé de le maintenir à 16 ans ; donc avant cet âge, l’autorisation de l’autorité parentale est requise.

Par ailleurs, le Gouvernement souhaite « anticiper le développement d’une administration numérique » en « ouvrant plus largement la possibilité pour l’administration de recourir à des décisions automatisées (sur le fondement d’un algorithme), à la condition d’offrir d’importantes garanties en contrepartie, en matière d’information pleine et entière des personnes, de droits de recours et de données traitées et de maîtrise par le responsable du traitement algorithmique et de ses évolutions ».

Enfin, la Gouvernement décide de profiter de la marge manœuvre prévue à l’article 23 du règlement, relatif à la limitation de certains droits des personnes concernées, quand « elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs », comme la sécurité nationale.

La CNIL salue cette étape et souligne que le projet de loi jour pleinement le jeu du règlement et de l’harmonisation recherchée par celui-ci, en ne maintenant les dérogations nationales que lorsqu’elles sont réellement justifiées, comme en matière de santé.

En revanche, elle regrette que d’autres propositions n’aient pas été retenues, tendant notamment à l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur des décisions administratives, ou à l’adaptation de ses procédures pour lui permettre de faire face à l’augmentation d’activité liée au nouveau règlement.