Ordonnance réécrivant la loi Informatique et Libertés : l'avis critique de la CNIL

IPF est hercule 9
Accès libre
image dediée
Crédits : 3D_generator/iStock
Loi
Marc Rees

Sollicitée, la CNIL a bien voulu nous transmettre son projet d’avis sur l’ordonnance publiée au Journal officiel du 13 décembre dernier. Elle adresse au gouvernement plusieurs critiques au texte destiné à dépoussiérer la loi de 1978 à l’heure du RGPD.

Le temps parlementaire n’avait visiblement pas été suffisant pour revoir l’intégralité de la législation en vigueur, l’exécutif a été autorisé par le législateur à prendre un tel texte programmé par la loi du 20 juin 2018 relative à la protection des données personnelles. 

Cette ordonnance a eu pour mission de réécrire l’ensemble de la loi Informatique et Liberté « afin d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu'à la simplicité de la mise en œuvre » du RGPD. Mission supplémentaire, dépoussiérer d’autres pans du droit, afin de respecter la sacro-sainte hiérarchie des normes.

Le texte a été pris après avis de la Commission nationale de l'informatique et des libertés, non publié. Suite à notre demande de communication, l’autorité a bien voulu nous l’adresser.

Une avancée jugée majeure, mais plusieurs critiques

Son avis sur le projet est très technique sans être particulièrement tendre. Si l’autorité voit une « avancée majeure » dans la lisibilité des différents régimes applicables selon la nature du traitement, elle demande à ce que l’exécutif poursuive ses efforts.

Ce régime va s’adresser en effet à des entités très diverses, dont « des petites et moyennes entreprises outre des acteurs publics de taille modestes ». Des petites structures qui gèrent de nombreuses données personnelles, ayant parfois mal accueilli l’arrivée du RGPD dans leur quotidien (Le guide pratique de la CNIL à destination des PME).

En outre, afin de « donner tout sens au principe de responsabilisation » induit par le RGPD, la CNIL a estimé nécessaire que soient rappelés les grands principes dès les premières lignes, comme l’interdiction des décisions entièrement automatisées ou l’inévitable obligation de sécurité. Le projet d’ordonnance a omis de rappeler d’autres fondamentaux comme la désignation d’un délégué à la protection des données, la sécurisation des traitements dès la conception ou la question des transferts hors UE.

Un texte parfois « très peu lisible »

Malgré une satisfaction d’ensemble, la CNIL juge le texte parfois « très peu lisible, en raison de la pratique du renvoi, parfois en chaîne, à des dispositions renvoyant elles-mêmes à d’autres dispositions, pour certaines externes à la loi du 6 janvier 1978 ». Elle cite en particulier les projets d’articles 65, 93 ou 30, non sans réclamer une rédaction « impérativement améliorée ».

Plusieurs de ses critiques ont été prises en compte, mais d’autres, semble-t-il pas. Ainsi comme le prévoit le RGPD, la France ouvre les actions de groupe notamment aux associations ayant pour objet la protection de la vie privée et celle des données personnelles. L’ordonnance publiée au J.O. exige néanmoins que ces structures soient « régulièrement déclarées depuis cinq ans au moins ». Problème, ce délai restrictif, prévu antérieurement en France, n’apparait pas dans le RGPD. La CNIL a réclamé une modification de cette condition de durée. En vain. 

Relevons encore l’article 84 relatif aux données des personnes décédées. La CNIL fait une incise pour déplorer cette fois que le décret d’application promis par la loi sur la République numérique n’ait toujours pas été publié « alors même que ces dispositions ont été introduites il y a plus de deux ans ». 


chargement
Chargement des commentaires...