Ordonnance réécrivant la loi Informatique et Libertés : l'avis critique de la CNIL

Ordonnance réécrivant la loi Informatique et Libertés : l’avis critique de la CNIL

IPF est hercule

Avatar de l'auteur
Marc Rees

Publié dans

Droit

18/12/2018 4 minutes
9

Ordonnance réécrivant la loi Informatique et Libertés : l'avis critique de la CNIL

Sollicitée, la CNIL a bien voulu nous transmettre son projet d’avis sur l’ordonnance publiée au Journal officiel du 13 décembre dernier. Elle adresse au gouvernement plusieurs critiques au texte destiné à dépoussiérer la loi de 1978 à l’heure du RGPD.

Le temps parlementaire n’avait visiblement pas été suffisant pour revoir l’intégralité de la législation en vigueur, l’exécutif a été autorisé par le législateur à prendre un tel texte programmé par la loi du 20 juin 2018 relative à la protection des données personnelles. 

Cette ordonnance a eu pour mission de réécrire l’ensemble de la loi Informatique et Liberté « afin d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu'à la simplicité de la mise en œuvre » du RGPD. Mission supplémentaire, dépoussiérer d’autres pans du droit, afin de respecter la sacro-sainte hiérarchie des normes.

Le texte a été pris après avis de la Commission nationale de l'informatique et des libertés, non publié. Suite à notre demande de communication, l’autorité a bien voulu nous l’adresser.

Une avancée jugée majeure, mais plusieurs critiques

Son avis sur le projet est très technique sans être particulièrement tendre. Si l’autorité voit une « avancée majeure » dans la lisibilité des différents régimes applicables selon la nature du traitement, elle demande à ce que l’exécutif poursuive ses efforts.

Ce régime va s’adresser en effet à des entités très diverses, dont « des petites et moyennes entreprises outre des acteurs publics de taille modestes ». Des petites structures qui gèrent de nombreuses données personnelles, ayant parfois mal accueilli l’arrivée du RGPD dans leur quotidien (Le guide pratique de la CNIL à destination des PME).

En outre, afin de « donner tout sens au principe de responsabilisation » induit par le RGPD, la CNIL a estimé nécessaire que soient rappelés les grands principes dès les premières lignes, comme l’interdiction des décisions entièrement automatisées ou l’inévitable obligation de sécurité. Le projet d’ordonnance a omis de rappeler d’autres fondamentaux comme la désignation d’un délégué à la protection des données, la sécurisation des traitements dès la conception ou la question des transferts hors UE.

Un texte parfois « très peu lisible »

Malgré une satisfaction d’ensemble, la CNIL juge le texte parfois « très peu lisible, en raison de la pratique du renvoi, parfois en chaîne, à des dispositions renvoyant elles-mêmes à d’autres dispositions, pour certaines externes à la loi du 6 janvier 1978 ». Elle cite en particulier les projets d’articles 65, 93 ou 30, non sans réclamer une rédaction « impérativement améliorée ».

Plusieurs de ses critiques ont été prises en compte, mais d’autres, semble-t-il pas. Ainsi comme le prévoit le RGPD, la France ouvre les actions de groupe notamment aux associations ayant pour objet la protection de la vie privée et celle des données personnelles. L’ordonnance publiée au J.O. exige néanmoins que ces structures soient « régulièrement déclarées depuis cinq ans au moins ». Problème, ce délai restrictif, prévu antérieurement en France, n’apparait pas dans le RGPD. La CNIL a réclamé une modification de cette condition de durée. En vain. 

Relevons encore l’article 84 relatif aux données des personnes décédées. La CNIL fait une incise pour déplorer cette fois que le décret d’application promis par la loi sur la République numérique n’ait toujours pas été publié « alors même que ces dispositions ont été introduites il y a plus de deux ans ». 

9

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une avancée jugée majeure, mais plusieurs critiques

Un texte parfois « très peu lisible »

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (9)


Merci pour se décryptage. <img data-src=" />


Un texte parfois « très peu lisible »; euh partant du RGPD ça peut se comprendre, néanmoins peut-être qu’un travail parlementaire aurait impliqué de rendre intelligible le texte, mais comme il a été préféré l’Ordonnance…



Bref quand ça veut pas ça veut pas, le RGPD aura vraiment été maffré du début à la fin.




Problème, ce délai restrictif, prévu antérieurement en France, n’apparait pas dans le RGPD. La CNIL a réclamé une modification de cette condition de durée. En vain.





Est-ce que le fait que ce soit un “ajout négatif” au RGPD va obliger le gouvernement à faire un retour arrière, ou ils ont le droit de faire ça ?


Très peu lisible le RGPD ? Il faudrait détailler, je trouve que c’est rare un texte aussi clair dans sa démarche et dans ses principes.


Ils sont fâchés avec le mot “incompréhensible” ?


Ils vont devoir, et peut-être même être sanctionnés par l’UE avant. Ce ne serait pas la première fois.


C’est une bonne remarque : le principe d’intelligibilité (déclaré objectif de valeur constitutionnelle par le CC) ne s’applique qu’à la loi.



S’il s’était agi d’une loi un recours aurait donc pu éventuellement être envisagé, mais la possibilité même de faire déclarer un texte inconstitutionnel pour défaut d’intelligibilité est débattue par la doctrine elle-même. Rendre la loi compréhensible à un citoyen lambda me semble impossible vu le processus législatif actuel.



&nbsp;Bonne chance donc.


et le gouvernement peut toujours revendre les données personnelles de nos cartes grises sans notre consentement&nbsp; ?



https://tuxicoman.jesuislibre.net/2018/12/comment-vous-recevez-de-la-publicite-c…








MonsieurCroque a écrit :



Très peu lisible le RGPD ? Il faudrait détailler, je trouve que c’est rare un texte aussi clair dans sa démarche et dans ses principes.





Hop un exemple au hasard: comment définir ce qui est ou non un traitement à grande échelle ?

(prends ton temps, la CNIL et l’exG29 le prennent depuis de 2016).&nbsp;