Près d’un mois après l’entrée en vigueur du RGPD, Emmanuel Macron a promulgué la loi adaptant le droit français au fameux règlement européen sur la protection des données personnelles. Next INpact revient pour l’occasion sur dix de ses mesures clés.
Validée en quasi-totalité par le Conseil constitutionnel le 12 juin dernier, la « loi relative à la protection des données personnelles » a (enfin) pu être publiée au Journal officiel, jeudi 21 juin. Le texte, qui procède à un large toilettage de la loi « Informatique et Libertés » afin d’accompagner la mise en œuvre du RGPD, entrera officiellement en vigueur dès demain.
Pour en savoir plus sur les réformes relevant du règlement européen (lequel est d’application directe au sein des États membres) vous pourrez retrouver notre dossier.
En France, le législateur a profité de la marge de manœuvre qui lui restait pour fixer par exemple à quinze ans l’âge de la « majorité numérique ».
Une action de groupe pour obtenir réparation du préjudice subi
À ce jour, cette procédure est uniquement destinée à la cessation d’un manquement à la loi Informatique et Libertés (tel que le colmatage d’une faille de sécurité par exemple). Dès demain, il sera également possible d’obtenir de la justice « la réparation des préjudices » subis, qu’ils soient « matériels » ou « moraux ».
Comme pour l’action de groupe en vigueur depuis 2016, les victimes devront être représentées par une organisation tierce :
- Soit une association régulièrement déclarée depuis cinq ans au moins et « ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ».
- Soit une association de défense des consommateurs représentative agréée au niveau national, à condition que le problème « affecte des consommateurs » (ce qui exclut notamment les manquements relevant de sites publics).
- Soit un syndicat représentatif de salariés ou de fonctionnaires « lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre ».
Il est précisé que le « fait générateur du dommage » devra être « postérieur au 24 mai 2018 ».
Une « majorité numérique » fixée à quinze ans
Un mineur ne pourra désormais consentir seul à ce que ses données personnelles soient collectées qu’à compter de l'âge de quinze ans. La mesure avait fait l’objet de nombreux débats, puisque le RGPD laissait aux États membres le soin d’établir ce seuil entre 13 et 16 ans.
Pour les jeunes de moins de quinze ans, l’accord des parents sera nécessaire – ainsi bien entendu que celui du mineur. La loi exige par ailleurs que les responsables de traitements (Facebook, YouTube...) rédigent « en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne ».
Davantage de sensibilisation des élèves
Alors que tous les élèves disposent en principe, au cours de leur cursus obligatoire, d’une sensibilisation aux droits et devoirs « liés à l'usage de l'internet et des réseaux, dont la protection de la vie privée et le respect de la propriété intellectuelle » (dans le cadre leur « formation à l'utilisation des outils et des ressources numériques »), le Code de l’éducation est modifié de telle sorte que ces cours devront être élargis aux « règles applicables aux traitements des données à caractère personnel ».
Introduction d’une « saisine parlementaire » de la CNIL
La CNIL pourra désormais être saisie de toute proposition de loi (émanant donc de députés ou sénateurs) « relative à la protection des données à caractère personnel ou au traitement de telles données ». L’avis de l’institution restera bien entendu purement consultatif. Il sera par ailleurs loin d’être systématique puisqu’il faudra qu’une des personnalités suivantes décide de solliciter l’autorité administrative indépendante :
- Le président de l’Assemblée nationale
- Le président du Sénat
- Le président d’une commission parlementaire (commission des lois, de la culture, etc.)
- Le président d’un groupe parlementaire (LREM, LFI...)
Feu vert aux décisions prises exclusivement par des algorithmes
Les acteurs privés comme les administrations pourront dorénavant prendre des décisions « produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative » sur « le seul fondement d'un traitement automatisé de données à caractère personnel ». Comme l’a explicité le Conseil constitutionnel, ce feu vert est conditionné au respect de plusieurs exigences – à commencer par la transparence quant aux algorithmes utilisés (voir notre article).
La personne pourra notamment demander à connaître les « règles » définissant le traitement utilisé pour traiter son dossier, ainsi que les « principales caractéristiques » de sa mise en œuvre. De nombreuses exclusions sont prévues, notamment pour les décisions de justice ou les traitements fondés sur des données sensibles (origine ethnique, orientation sexuelle, etc.).
Enquêtes sous pseudonyme pour les agents de la CNIL
Dans le cadre de leurs contrôles en ligne, les agents de la CNIL seront dorénavant autorisés à utiliser une « identité d’emprunt ». Un décret devra toutefois préciser la mise en œuvre de cette réforme (voir en attendant notre reportage sur les contrôles en ligne de la CNIL).
Le législateur a tenu à préciser que les fonctionnaires travaillant pour l’autorité administrative ne pourront inciter « à commettre une infraction ».
Suppression du droit à la portabilité prévu par la loi Numérique
Le droit à la « récupération » des données associées aux comptes de plateformes de type Facebook ou Deezer est abrogé. Ce point avait suscité un long bras de fer entre députés et sénateurs.
L’Assemblée jugeait que cette mesure issue de la loi Numérique de 2016 (mais destinée à entrer en vigueur le 25 mai dernier) faisait doublon avec le droit à la portabilité prévu par le RGPD. Le Sénat y était farouchement opposé, au motif que ce dispositif se révélait complémentaire, en couvrant un champ plus large – notamment sur des données non personnelles, tels les fichiers mis en ligne par l’internaute.
Pré-installation d’applications et libre consentement
Afin d’empêcher la pré-installation d’applications ou de services de type moteur de recherche, la loi pose que le fait de « restreindre » les « possibilités de choix de l'utilisateur final, notamment lors de la configuration initiale du terminal, en matière de services de communication au public en ligne et aux applications accessibles sur un terminal, présentant des offres et des conditions d'utilisation de nature équivalente selon des niveaux différenciés de protection des données personnelles » fera expressément « obstacle » au libre consentement de l’utilisateur.
Des exceptions seront néanmoins admises en cas de « motif légitime d'ordre technique ou de sécurité ».
Davantage de compétences requises pour intégrer le collège de la CNIL
Parmi les dix-huit membres de la Commission, cinq sont aujourd'hui désignés par le gouvernement et les présidents des assemblées en raison de « leur connaissance du numérique » ou, pour trois d’entre eux, « des questions touchant aux libertés individuelles ». Désormais, ils devront être choisis pour « leur connaissance du numérique et des questions touchant aux libertés individuelles ». Et non plus l’un ou l’autre.
Une ordonnance pour réécrire la loi « Informatique et Libertés »
Dans un délai de six mois, le gouvernement devra prendre par voie d’ordonnance toutes les mesures législatives destinées à réécrire l’ensemble de la loi « Informatique et Libertés » au regard du RGPD et de la présente loi sur la protection des données personnelles. Le Parlement a confié à l’exécutif le soin « d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence » de ces textes, ainsi qu'à la « simplicité » de leur mise en œuvre.
Un nouveau débat pourra s’ouvrir lorsque le gouvernement soumettra aux parlementaires son projet de loi de ratification de cette ordonnance.
Pour accompagner la mise en œuvre de la loi parue ce matin au Journal officiel, l’exécutif devra enfin prendre pas moins d’une dizaine de décrets.
Commentaires (8)
#1
Comme on est dans le sujet, vous avez un petit article en préparation sur le “CLOUD Act” histoire qu’on voit la contre attaque indirecte au RGPD des ricains avec le soutien des GAFAS ?
#2
Excellente synthèse, merci Xavier !
#3
« restreindre » les « possibilités de choix de
l’utilisateur final, notamment lors de la configuration initiale du
terminal, en matière de services de communication au public en ligne et
aux applications accessibles sur un terminal, présentant des offres et
des conditions d’utilisation de nature équivalente selon des niveaux
différenciés de protection des données personnelles » fera expressément « obstacle »
Ils se relisent à voix haute, parfois ? C’est un coup à s’asphixier là !
Pour au final juste dire que les apps préinstallées, c’est la louze
#4
1 résultat clef du rgpd : 1 popup de merde qui fait chier sur quasi tous les sites qu’on visite.
Merci l’europe, c’était très utile.
#5
Une ordonnance pour réécrire la loi « Informatique et Libertés »
#6
J’adore quand l’UE prouve qu’elle ne sert à rien, à part pondre des lois débiles, transcrites aussitôt en droit français par les toutous complices, cherchant à justifier leurs salaires et privilèges.
Ne rions pas : il y a sûrement encore des débiles qui croient, dur comme fer, dans le droit à l’oubli !
#7
c’est clair que ça fait grave chier de devoir tout configurer…
surtout que certains sites ne te demandent même pas si tu veux décocher certains cookies…
Bref de la merde…. même si c’est une évolution…
#8
Et en plus ce merdier recommence pour chaque navigateur, sur ton smartphone, et si t as l audace d effacer tes cookies ou reinstall windows ca recommence.
Un bien belle merde merci l europe pour ce spam général du web.