Les avis du Conseil d’État et de la cnil sur la loi du 20 juin 2018 adaptant la législation française au RGPD

 

La législation française de protection des données à caractère personnel est apparue dès 1978 avec la loi dite « informatique et liberté »[1]. Cette loi a été amendée, en particulier, pour transposer en droit français la directive 95/46/CE[2]. En 2016, l’Union Européenne a adopté un règlement[3] pour tenir compte des évolutions survenues depuis 1995 avec la montée en puissance de l’internet et des techniques numériques. Le règlement général sur la protection des données est d’application directe dans les États membres depuis le 25 mai 2018. Ce règlement laisse certains degrés de liberté aux États membres dans leur intégration aux législations nationales : mineurs, etc. La France a choisi d’adapter sa législation relative à la protection des données personnelles par modification de la loi n° 78-17 du 6 janvier 1978[4] dite loi informatique et liberté pour prendre en compte ce règlement ainsi que pour transposer la directive 2016/680[5]. C’était également par réécriture de cette même loi que la France avait transposé en droit français la directive 96/46/CE[6]. Le projet de loi a été adopté par l’Assemblée nationale le 14 mai 2018 puis soumis le 16 mai 2018 au Conseil constitutionnel par plus de 60 sénateurs[7]. La nouvelle loi a été promulguée le 20 juin 2018[8].

Le projet de loi a été soumis au Conseil d’État[9] et à la CNIL[10] pour avis avant transmission au Parlement. Leur avis permet de cerner les apports du règlement dans la législation française.

§ 1 – Un nouveau rôle pour la CNIL au travers de l’avis du Conseil d’État

Dans son avis du 7 décembre 2017, le Conseil d’État « souhaite […] attirer l’attention sur deux aspects majeurs des changements qu’apportent ce règlement et cette directive dans le mode d’intervention des pouvoirs publics pour protéger les libertés fondamentales lors du traitement des données personnelles, changements dont la bonne appréhension est essentielle à la compréhension des appréciations qu’il porte sur l’équilibre du projet de loi examiné ».

Le premier aspect concerne la responsabilité du responsable de traitement, au travers du délégué à la protection des données, en termes d’évaluation des risques d’atteinte aux libertés et droits fondamentaux. Le rôle de l’autorité de contrôle, en France la CNIL, consiste à déterminer de bonnes pratiques et à contrôler leur effectivité. Les formalités préalables d’autorisation ou de déclaration sont supprimées. Comme le constate le Conseil d’État :

« Auparavant, une directive de 1995 visait à harmoniser des pratiques nationales écloses dans chaque État, la France en premier, au fur et à mesure des évolutions. Celles-ci ont conduit à la création dans chaque État membre d’une ou plusieurs autorités de contrôle, aux pouvoirs inégaux d’un pays à l’autre, coordonnées par un groupe les réunissant, dénué de pouvoirs propres. Le régime de supervision des traitements reposait sur des prohibitions absolues, tempérées par un système de formalités préalables allant de la déclaration du traitement, jusqu’à son autorisation sous de strictes contraintes de procédure et de fond, proportionnées au degré d’atteinte portée par le traitement aux libertés.

« Le nouveau régime opère un renversement complet des logiques antérieures.

 « Le champ des données à traiter ne comporte plus que de rares prohibitions absolues et invite à raisonner en termes de risques d’atteinte aux libertés et droits fondamentaux. La charge de cette analyse n’est plus définie a priori par le législateur, imposant des contrôles progressivement durcis, mais incombe aux responsables du traitement. Ces derniers devront mener une analyse critique réalisée par un délégué à la protection des données, interne à l’organisation mais indépendant qui, chargé de faire respecter le règlement, la directive et les textes pris pour leur application, est désormais le pivot de leur respect. Dans le cas où un traitement a des effets potentiels graves, l’autorité de contrôle est saisie. Son rôle est désormais d’abord de déterminer de bonnes pratiques, en liaison avec les responsables, et de définir des référentiels, pour encadrer la création des traitements les plus communs et les harmoniser. Pour assurer le bon fonctionnement du système, l’autorité de contrôle est dotée de pouvoirs d’investigation et de sanctions renforcés ».

Le second aspect concerne la compétence nationale en termes de protection des données. Le Conseil d’État constate que :

« Pour la protection des données personnelles, les autorités nationales voient en effet désormais leur compétence matérielle et territoriale clarifiée et l’exercice de leurs pouvoirs articulé. Une autorité peut intervenir dans deux circonstances : soit le responsable du traitement est établi sur son territoire national (tout traitement opéré à destination du territoire européen, quelles que soient ses conditions matérielles de fonctionnement, doit conduire son auteur à désigner un responsable, au sens du droit de l’Union, du traitement), soit la personne que le traitement concerne est sur son territoire. En outre, le règlement permet de trancher les conflits de compétence. Une seule autorité peut être qualifiée de chef de file pour l’exercice du contrôle sur un traitement : en principe celle sur le territoire de laquelle le responsable est établi ; les autres, dites autorités concernées, peuvent toujours intervenir, mais en respectant les prérogatives de la première ».

Le Conseil d’État constate ainsi un changement de paradigme et une responsabilité accrue territorialement des autorités de contrôle.  Le Conseil d’État continue avec la nécessité d’une loi précise et claire facilitant la prise de décision, le maintien d’un niveau élevé de protection et la possibilité pour les États membres de renforcer leur contrôle et d'adopter des règles relevant du droit souple[11]. Il écrit qu’il est nécessaire que :

« La loi soit la plus précise et la plus claire pour assurer un environnement robuste à leur prise de décision. Il faut assurer en même temps le maintien d’un standard élevé de protection, non seulement par l’usage, le cas échéant, des facultés reconnues aux États par leur droit interne de renforcer les contrôles (par exemple par des autorisations a priori), mais aussi par l’adoption des règles qui, pour relever du droit souple, doivent être claires et rigoureuses ».

Le Conseil d’État insiste ensuite sur la nécessaire cohérence de la protection à l’ensemble des États membres devant mener à la construction d’un standard de protection européen efficient.

« La cohérence de la mise en œuvre du droit de l’Union sur l’ensemble de son territoire est également essentielle à son plein effet. Elle ne sera atteinte que par une claire répartition des compétences entre autorités, selon les critères fixés par le règlement […]. Elle dépend aussi de la fidélité des droits nationaux aux règles posées par le règlement et la directive qui, en dépit des nombreuses marges de manœuvre laissées aux États membres, doivent construire un standard européen homogène et ambitieux, capable d’influencer de bonnes pratiques au niveau mondial ».

L’avis du Conseil d’État analyse ensuite les articles du projet de loi, il confirme certains choix du gouvernement et propose certaines modifications ou précisions ne remettant pas en cause le projet. L’avis de la CNIL est quant à lui, un modèle de diplomatie laissant percer un sentiment de frustration face à une occasion manquée d’améliorer réellement la protection des données à caractère personnel.

§ 2 – Une frustration contrôlée dans l’avis de la CNIL

La CNIL, comme le Conseil d’État, commence par des observations d’ordre général avant d’étudier les divers articles du projet de loi.

A)                             Les observations d’ordre général

La CNIL commence son avis en constatant que si les « principes régissant le traitement de données à caractère personnel, posés par le législateur il y a près de 40 ans, restent valables, ce cadre juridique introduit un changement de paradigme ». Comme le Conseil d’État, la CNIL constate l’abandon des « formalités préalables » au profit d’une « logique de responsabilisation renforcée des acteurs, responsables de traitements et sous-traitants ». Elle voit ses pouvoirs de contrôle et de sanction renforcés par la possibilité de sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel pour une entreprise.

Elle constate un renforcement des droits des personnes par la création de nouveaux droits : portabilité des données ou droit à l’oubli propre aux mineurs, ainsi qu’une harmonisation de l’application du règlement en cas de traitements de données transnationaux.

Après avoir souligné que le projet de loi français remplit l’objectif d’adaptation du droit français au règlement européen et utilise de manière judicieuse les marges de manœuvre ouvertes aux États, la CNIL attire l’attention sur trois aspects et limites du projet de loi soumis à son avis : le calendrier, le défaut de lisibilité et une occasion manquée.

1)   Le calendrier retenu

La CNIL regrette de n’avoir été saisie du projet de loi que tardivement (le 17 novembre 2017) et de ne pas avoir eu le temps nécessaire à l’examen, « dans des conditions acceptables », d’un texte d’une telle portée. Pour rappel, le règlement a été adopté par le Parlement européen et le Conseil le 27 avril 2016 pour une application directe par les états membres le 25 mai 2018. La CNIL souligne le risque pour la France de ne pas avoir adapter sa législation dans les délais, ce qui compte tenu de l’adoption définitive du texte par l’Assemblée nationale le 14 mai 2018 et la saisine du Conseil constitutionnel du 16 mai par 60 sénateurs sera effectivement le cas, sachant que la loi doit être complétée par de nécessaires décrets d’application. La décision du Conseil constitutionnel est publiée le 12 juin 2018[12]. La loi promulguée le 20 juin 2018, soit avec un mois de retard[13].

2) Le défaut de lisibilité de l’état du droit résultant du projet de loi

Un premier niveau de complexité est dû au législateur européen lui-même qui a choisi d’adopter un Règlement et une directive, d’où la nécessité de combiner la lecture du Règlement et d’un certain nombre de dispositions nationales. Cette combinaison remplace le corpus unique que constitue la loi de 1978. Si la loi de 1978, révisée en 2004, est en contraction ou en conflit avec le règlement, c’est le règlement qui prévaut en droit de l’Union Européenne, d’où une lecture stéréotypique nécessaire.

Ce choix est aggravé par le fait de n’opérer que des modifications strictement indispensables à la mise en œuvre du Règlement et de la directive, et de renvoyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une ordonnance ultérieure. Cette ordonnance doit être prise dans un délai de six mois à compter de la promulgation de la présente loi[14]. Ainsi durant six mois, le texte révisé sera transitoire en attendant le texte réécrit et résultant de l’ordonnance. Si le règlement est applicable dès le 26 mai 2018, la loi entre en vigueur le 20 décembre 2018, après publication de la décision du Conseil constitutionnel, mais son article 70-15 n’entrera en vigueur qu’à une date fixée par décret, soit le 6 mai 2023, soit le 6 mai 2026 pour des traitements déterminés par voie réglementaire et certaines dispositions n’entreront en vigueur que le 1er juillet 2020 (traitements relatifs à des décisions administratives individuelles) ou à la rentrée de l’année scolaire 2018-2019 (registre des traitements mis en œuvre dans les établissements publics d’enseignement scolaires).

Il est à noter que dans la saisine des sénateurs, la première demande concerne la méconnaissance de l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi et s’appuie en partie sur les deux avis du Conseil d’État et de la CNIL. Ce grief soulevé par les sénateurs est écarté par le Conseil constitutionnel[15].

3)  Une occasion manquée de procéder à un réexamen global du droit de la protection des données en France

La CNIL regrette que le gouvernement n’ait pas profité de cette adaptation législative pour mettre en place un niveau d’ambition supérieur au socle minimal prévu par la directive transposée. En particulier, la CNIL regrette que pour les traitements ne relevant pas du champ du droit de l’Union, les garanties européennes ne leur soient pas applicables, ce qui aurait permis d’accroître le niveau de protection des données traitées. Dans son avis, elle incite le législateur à le faire par amendements du projet de loi. La protection des données à caractère personnel traitées par certaines administrations n’a pas le niveau de protection demandé aux traitements des entreprises privées. Si la CNIL voit son pouvoir renforcé face aux entreprises privées de par le nouveau montant des amendes administratives, son pouvoir de contrôle des traitements administratifs est une nouvelle fois réduit pour les traitements administratifs[16] moins contraints par la loi.

B)                             L’examen des articles du projet de loi

Dans l’analyse des différents articles du projet de loi, la CNIL revient fréquemment sur des différences de niveau de protection entre le règlement et les articles transposant la directive et demande à chaque fois que ce soit le règlement qui soit retenu par une simple référence aux articles concernés du règlement.

Le 1er article concerne les missions de la Commission. Si la Commission souscrit à « l’élaboration des règlements types au titre des conditions supplémentaires ou des garanties que le droit national peut introduire pour le traitement des données biométriques, génétiques et de santé ou pour les données d’infraction », elle regrette qu’ils ne puissent concerner « les traitements mis en œuvre pour le compte de l’État, agissant dans les prérogatives de puissance publique », et ne concernent que les règles de sécurité des systèmes et ne puissent encadrer des règles de fond de la protection des données. Ainsi, la CNIL insiste sur la protection moindre des données dans les traitements administratifs. Non seulement, elle a un droit de contrôle amoindri, mais elle n’a pas la possibilité d’élaborer des règlements types pour ces traitements.

Elle estime également que le projet de loi devrait lui donner la possibilité de participer aux instances européennes et internationales compétentes en matière de protection des données sans nécessiter une demande de participation du Premier ministre, afin d’améliorer sa réactivité et son autonomie.

Elle relève également qu’au niveau de la coopération entre la CNIL et les autorités de protection des données des autres États et même du Comité européen de protection des données, l’adoption de décisions peut relever du pouvoir du président de la Commission ou de la formation restreinte et que les différents organes de la Commission devraient pouvoir saisir le Comité européen en cas de désaccords entre autorités nationales. Il en est de même lorsque la Commission est chef de file.

D’autres remarques concernent les pouvoirs d’enquête, en particulier en cas d’enquête conjointe, car le projet de loi cantonne les agents et membres des autres autorités de contrôle à une simple présence sans pouvoir de questionnement direct.

Après ces remarques concernant la CNIL elle-même et son fonctionnement, suivent des recommandations d’adaptation concernant la protection des données sensibles qui figure dans le règlement et la directive, mais dont la transposition dans le projet de loi n’est pas conforme pour la CNIL qui remarque de plus qu’aucune protection n’existe pour les traitements hors du champ de la protection de l’Union (défense et sûreté des États).

La CNIL constate qu’en matière de champ d’application de la loi nationale, la loi nationale s’applique dès lors que la personne concernée réside en France même si le responsable du traitement n’est pas établi en France, mais que la logique est inversée dans le cadre du respect du droit de la liberté d’expression et d’information, où le droit applicable est celui de l’État dans lequel le responsable est établi. La CNIL souligne les difficultés opérationnelles qui pourraient en découler en cas de critères différents et incompatibles retenus par d’autres États.

En conclusion, la CNIL regrette que le projet de loi soit resté en retrait de ce que le règlement permettait de faire en matière de protection des données, y compris des données sensibles. Elle constate que certains traitements de l’État restent hors de sa juridiction. Elle précise certaines nécessités de modifications nécessaires à la coopération effective entre les autorités de contrôles des autres États et ses relations avec le Comité européen de protection des données. Mais, il est à remarquer que c’est un amendement législatif en première lecture qui introduit dans la loi définitive que la CNIL est l’autorité de contrôle en France prévue par le règlement.

Si le règlement apporte des avancées en termes de protection des données personnelles dans les traitements effectués par des entreprises privées, la loi qui transpose la directive (UE) 2016/680, reste en retrait par rapport au règlement quant aux traitements administratifs. De nombreux cabinets d’avocats ont mis en place des services et formations afin de permettre aux entreprises de s’adapter au RGPD, que ce soit en adaptant les traitements et la politique de sécurité. Certains cabinets ne proposent que des moyens d’éviter les amendes prévues par le RGPD et donc de contourner ce RGPD.