Les avis du Conseil d’État et de la cnil
sur la loi du 20 juin 2018 adaptant la législation française au RGPD
par
Jean HARIVEL, docteur en droit, chargé d’enseignement à l’Université Paris 1
Panthéon-Sorbonne.
La législation française
de protection des données à caractère personnel est apparue dès 1978 avec la
loi dite « informatique et liberté »[1].
Cette loi a été amendée, en particulier, pour transposer en droit français la
directive 95/46/CE[2]. En
2016, l’Union Européenne a adopté un règlement[3]
pour tenir compte des évolutions survenues depuis 1995 avec la montée en
puissance de l’internet et des techniques numériques. Le règlement général sur
la protection des données est d’application directe dans les États membres
depuis le 25 mai 2018. Ce règlement laisse certains degrés de liberté aux États
membres dans leur intégration aux législations nationales : mineurs, etc.
La France a choisi d’adapter sa législation relative à la protection des
données personnelles par modification de la loi n° 78-17 du 6 janvier 1978[4]
dite loi informatique et liberté pour prendre en compte ce règlement ainsi que
pour transposer la directive 2016/680[5].
C’était également par réécriture de cette même loi que la France avait
transposé en droit français la directive 96/46/CE[6].
Le projet de loi a été adopté par l’Assemblée nationale le 14 mai 2018 puis
soumis le 16 mai 2018 au Conseil constitutionnel par plus de 60 sénateurs[7].
La nouvelle loi a été promulguée le 20 juin 2018[8].
Le projet de loi a été
soumis au Conseil d’État[9]
et à la CNIL[10] pour
avis avant transmission au Parlement. Leur avis permet de cerner les apports du
règlement dans la législation française.
Dans son avis du 7
décembre 2017, le Conseil d’État « souhaite […] attirer l’attention sur
deux aspects majeurs des changements qu’apportent ce règlement et cette
directive dans le mode d’intervention des pouvoirs publics pour protéger les
libertés fondamentales lors du traitement des données personnelles, changements
dont la bonne appréhension est essentielle à la compréhension des appréciations
qu’il porte sur l’équilibre du projet de loi examiné ».
Le premier aspect
concerne la responsabilité du responsable de traitement, au travers du délégué
à la protection des données, en termes d’évaluation des risques d’atteinte aux
libertés et droits fondamentaux. Le
rôle de l’autorité de contrôle, en France la CNIL, consiste à déterminer de
bonnes pratiques et à contrôler leur effectivité. Les formalités préalables
d’autorisation ou de déclaration sont supprimées. Comme le constate le Conseil
d’État :
« Auparavant,
une directive de 1995 visait à harmoniser des pratiques nationales écloses dans
chaque État, la France en premier, au fur et à mesure des évolutions. Celles-ci
ont conduit à la création dans chaque État membre d’une ou plusieurs autorités
de contrôle, aux pouvoirs inégaux d’un pays à l’autre, coordonnées par un
groupe les réunissant, dénué de pouvoirs propres. Le régime de supervision des
traitements reposait sur des prohibitions absolues, tempérées par un système de
formalités préalables allant de la déclaration du traitement, jusqu’à son
autorisation sous de strictes contraintes de procédure et de fond, proportionnées
au degré d’atteinte portée par le traitement aux libertés.
« Le nouveau régime opère un
renversement complet des logiques antérieures.
« Le champ des données à traiter ne
comporte plus que de rares prohibitions absolues et invite à raisonner en
termes de risques d’atteinte aux libertés et droits fondamentaux. La charge de
cette analyse n’est plus définie a priori par le législateur, imposant des
contrôles progressivement durcis, mais incombe aux responsables du traitement.
Ces derniers devront mener une analyse critique réalisée par un délégué à la
protection des données, interne à l’organisation mais indépendant qui, chargé
de faire respecter le règlement, la directive et les textes pris pour leur
application, est désormais le pivot de leur respect. Dans le cas où un
traitement a des effets potentiels graves, l’autorité de contrôle est saisie.
Son rôle est désormais d’abord de déterminer de bonnes pratiques, en liaison
avec les responsables, et de définir des référentiels, pour encadrer la création
des traitements les plus communs et les harmoniser. Pour assurer le bon
fonctionnement du système, l’autorité de contrôle est dotée de pouvoirs
d’investigation et de sanctions renforcés ».
Le second aspect concerne
la compétence nationale en termes de protection des données. Le Conseil d’État
constate que :
« Pour
la protection des données personnelles, les autorités nationales voient en
effet désormais leur compétence matérielle et territoriale clarifiée et
l’exercice de leurs pouvoirs articulé. Une autorité peut intervenir dans deux
circonstances : soit le responsable du traitement est établi sur son
territoire national (tout traitement opéré à destination du territoire
européen, quelles que soient ses conditions matérielles de fonctionnement, doit
conduire son auteur à désigner un responsable, au sens du droit de l’Union, du
traitement), soit la personne que le traitement concerne est sur son
territoire. En outre, le règlement permet de trancher les conflits de
compétence. Une seule autorité peut être qualifiée de chef de file pour
l’exercice du contrôle sur un traitement : en principe celle sur le territoire
de laquelle le responsable est établi ; les autres, dites autorités concernées,
peuvent toujours intervenir, mais en respectant les prérogatives de la
première ».
Le Conseil d’État
constate ainsi un changement de paradigme et une responsabilité accrue
territorialement des autorités de contrôle.
Le Conseil d’État continue avec la nécessité d’une loi précise et claire
facilitant la prise de décision, le maintien d’un niveau élevé de protection et
la possibilité pour les États membres de renforcer leur contrôle et d'adopter
des règles relevant du droit souple[11].
Il écrit qu’il est nécessaire que :
« La
loi soit la plus précise et la plus claire pour assurer un environnement
robuste à leur prise de décision. Il faut assurer en même temps le maintien
d’un standard élevé de protection, non seulement par l’usage, le cas échéant,
des facultés reconnues aux États par leur droit interne de renforcer les
contrôles (par exemple par des autorisations a priori), mais aussi par
l’adoption des règles qui, pour relever du droit souple, doivent être claires
et rigoureuses ».
Le Conseil d’État insiste
ensuite sur la nécessaire cohérence de la protection à l’ensemble des États
membres devant mener à la construction d’un standard de protection européen
efficient.
« La
cohérence de la mise en œuvre du droit de l’Union sur l’ensemble de son
territoire est également essentielle à son plein effet. Elle ne sera atteinte
que par une claire répartition des compétences entre autorités, selon les
critères fixés par le règlement […]. Elle dépend aussi de la fidélité des
droits nationaux aux règles posées par le règlement et la directive qui, en
dépit des nombreuses marges de manœuvre laissées aux États membres, doivent
construire un standard européen homogène et ambitieux, capable d’influencer de
bonnes pratiques au niveau mondial ».
L’avis du Conseil d’État
analyse ensuite les articles du projet de loi, il confirme certains choix du
gouvernement et propose certaines modifications ou précisions ne remettant pas
en cause le projet. L’avis de la CNIL est quant à lui, un modèle de diplomatie
laissant percer un sentiment de frustration face à une occasion manquée
d’améliorer réellement la protection des données à caractère personnel.
La CNIL, comme le Conseil
d’État, commence par des observations d’ordre général avant d’étudier les
divers articles du projet de loi.
La CNIL commence son avis
en constatant que si les « principes régissant le traitement de données à
caractère personnel, posés par le législateur il y a près de 40 ans, restent
valables, ce cadre juridique introduit un changement de paradigme ». Comme
le Conseil d’État, la CNIL constate l’abandon des « formalités
préalables » au profit d’une « logique de responsabilisation
renforcée des acteurs, responsables de traitements et sous-traitants ». Elle
voit ses pouvoirs de contrôle et de sanction renforcés par la possibilité de
sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires
annuel pour une entreprise.
Elle constate un
renforcement des droits des personnes par la création de nouveaux droits :
portabilité des données ou droit à l’oubli propre aux mineurs, ainsi qu’une
harmonisation de l’application du règlement en cas de traitements de données
transnationaux.
Après avoir souligné que
le projet de loi français remplit l’objectif d’adaptation du droit français au
règlement européen et utilise de manière judicieuse les marges de manœuvre
ouvertes aux États, la CNIL attire l’attention sur trois aspects et limites du
projet de loi soumis à son avis : le calendrier, le défaut de lisibilité
et une occasion manquée.
La CNIL regrette de
n’avoir été saisie du projet de loi que tardivement (le 17 novembre 2017) et de
ne pas avoir eu le temps nécessaire à l’examen, « dans des conditions
acceptables », d’un texte d’une telle portée. Pour rappel, le règlement a
été adopté par le Parlement européen et le Conseil le 27 avril 2016 pour une
application directe par les états membres le 25 mai 2018. La CNIL souligne le
risque pour la France de ne pas avoir adapter sa législation dans les délais, ce
qui compte tenu de l’adoption définitive du texte par l’Assemblée nationale le
14 mai 2018 et la saisine du Conseil constitutionnel du 16 mai par 60 sénateurs
sera effectivement le cas, sachant que la loi doit être complétée par de nécessaires
décrets d’application. La décision du Conseil constitutionnel est publiée le 12
juin 2018[12]. La
loi promulguée le 20 juin 2018, soit avec un mois de retard[13].
Un premier niveau de complexité est dû au
législateur européen lui-même qui a choisi d’adopter un Règlement et une
directive, d’où la nécessité de combiner la lecture du Règlement et d’un
certain nombre de dispositions nationales. Cette combinaison remplace le corpus
unique que constitue la loi de 1978. Si la loi de
1978, révisée en 2004, est en contraction ou en conflit avec le règlement,
c’est le règlement qui prévaut en droit de l’Union Européenne, d’où une lecture
stéréotypique nécessaire.
Ce choix est aggravé par le fait de
n’opérer que des modifications strictement indispensables à la mise en œuvre du
Règlement et de la directive, et de renvoyer la réécriture d’ensemble de la loi
du 6 janvier 1978 à une ordonnance ultérieure. Cette ordonnance doit être prise
dans un délai de six mois à compter de la promulgation de la présente loi[14]. Ainsi durant six mois, le texte révisé sera transitoire en
attendant le texte réécrit et résultant de l’ordonnance. Si le règlement est
applicable dès le 26 mai 2018, la loi entre en vigueur le 20 décembre 2018, après
publication de la décision du Conseil constitutionnel, mais son article 70-15
n’entrera en vigueur qu’à une date fixée par décret, soit le 6 mai 2023, soit
le 6 mai 2026 pour des traitements déterminés par voie réglementaire et
certaines dispositions n’entreront en vigueur que le 1er juillet 2020
(traitements relatifs à des décisions administratives individuelles) ou à la
rentrée de l’année scolaire 2018-2019 (registre des traitements mis en œuvre
dans les établissements publics d’enseignement scolaires).
Il est à noter que dans la saisine des
sénateurs, la première demande concerne la méconnaissance de l’objectif de
valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi et
s’appuie en partie sur les deux avis du Conseil d’État et de la CNIL. Ce grief
soulevé par les sénateurs est écarté par le Conseil constitutionnel[15].
La
CNIL regrette que le gouvernement n’ait pas profité de cette adaptation
législative pour mettre en place un niveau d’ambition supérieur au socle
minimal prévu par la directive transposée. En particulier, la CNIL regrette que
pour les traitements ne relevant pas du champ du droit de l’Union, les
garanties européennes ne leur soient pas applicables, ce qui aurait permis
d’accroître le niveau de protection des données traitées. Dans son avis, elle
incite le législateur à le faire par amendements du projet de loi. La
protection des données à caractère personnel traitées par certaines
administrations n’a pas le niveau de protection demandé aux traitements des
entreprises privées. Si la CNIL voit son pouvoir renforcé face aux entreprises
privées de par le nouveau montant des amendes administratives, son pouvoir de
contrôle des traitements administratifs est une nouvelle fois réduit pour les
traitements administratifs[16] moins contraints par la loi.
Dans l’analyse des différents articles du
projet de loi, la CNIL revient fréquemment sur des différences de niveau de
protection entre le règlement et les articles transposant la directive et
demande à chaque fois que ce soit le règlement qui soit retenu par une simple
référence aux articles concernés du règlement.
Le 1er article
concerne les missions de la Commission. Si la Commission souscrit à
« l’élaboration des règlements types au titre des conditions
supplémentaires ou des garanties que le droit national peut introduire pour le
traitement des données biométriques, génétiques et de santé ou pour les données
d’infraction », elle regrette qu’ils ne puissent concerner « les
traitements mis en œuvre pour le compte de l’État, agissant dans les
prérogatives de puissance publique », et ne concernent que les règles de
sécurité des systèmes et ne puissent encadrer des règles de fond de la
protection des données. Ainsi, la CNIL insiste sur la protection moindre des
données dans les traitements administratifs. Non seulement, elle a un droit de
contrôle amoindri, mais elle n’a pas la possibilité d’élaborer des règlements
types pour ces traitements.
Elle estime également que
le projet de loi devrait lui donner la possibilité de participer aux instances
européennes et internationales compétentes en matière de protection des données
sans nécessiter une demande de participation du Premier ministre, afin
d’améliorer sa réactivité et son autonomie.
Elle relève également
qu’au niveau de la coopération entre la CNIL et les autorités de protection des
données des autres États et même du Comité européen de protection des données,
l’adoption de décisions peut relever du pouvoir du président de la Commission
ou de la formation restreinte et que les différents organes de la Commission
devraient pouvoir saisir le Comité européen en cas de désaccords entre
autorités nationales. Il en est de même lorsque la Commission est chef de file.
D’autres remarques
concernent les pouvoirs d’enquête, en particulier en cas d’enquête conjointe,
car le projet de loi cantonne les agents et membres des autres autorités de
contrôle à une simple présence sans pouvoir de questionnement direct.
Après ces remarques
concernant la CNIL elle-même et son fonctionnement, suivent des recommandations
d’adaptation concernant la protection des données sensibles qui figure dans le
règlement et la directive, mais dont la transposition dans le projet de loi n’est
pas conforme pour la CNIL qui remarque de plus qu’aucune protection n’existe
pour les traitements hors du champ de la protection de l’Union (défense et
sûreté des États).
La CNIL constate qu’en
matière de champ d’application de la loi nationale, la loi nationale s’applique
dès lors que la personne concernée réside en France même si le responsable du
traitement n’est pas établi en France, mais que la logique est inversée dans le
cadre du respect du droit de la liberté d’expression et d’information, où le
droit applicable est celui de l’État dans lequel le responsable est établi. La
CNIL souligne les difficultés opérationnelles qui pourraient en découler en cas
de critères différents et incompatibles retenus par d’autres États.
En conclusion, la CNIL
regrette que le projet de loi soit resté en retrait de ce que le règlement
permettait de faire en matière de protection des données, y compris des données
sensibles. Elle constate que certains traitements de l’État restent hors de sa
juridiction. Elle précise certaines nécessités de modifications nécessaires à
la coopération effective entre les autorités de contrôles des autres États et
ses relations avec le Comité européen de protection des données. Mais, il est à
remarquer que c’est un amendement législatif en première lecture qui introduit
dans la loi définitive que la CNIL est l’autorité de contrôle en France prévue
par le règlement.
Si le règlement apporte
des avancées en termes de protection des données personnelles dans les
traitements effectués par des entreprises privées, la loi qui transpose la
directive (UE) 2016/680, reste en retrait par rapport au règlement quant aux
traitements administratifs. De nombreux cabinets d’avocats ont mis en place des
services et formations afin de permettre aux entreprises de s’adapter au RGPD,
que ce soit en adaptant les traitements et la politique de sécurité. Certains
cabinets ne proposent que des moyens d’éviter les amendes prévues par le RGPD
et donc de contourner ce RGPD.
[1] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
[2] Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[4] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, déjà citée.
[5] Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.
[6] Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, déjà citée.
[7]
Conseil constitutionnel, Décision n° 2018-765 DC du 12 juin 2018 Loi relative à la protection des données
personnelles.
[8] Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.
[9] Conseil d’État, Assemblée générale, 7 décembre 2017, Avis sur un projet de loi d’adaptation au droit de l’Union européenne de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
[10] Délibération n° 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d’adaptation au droit de l’Union européenne de la loi n°78-17 du janvier 1978 (demande d’avis n°17023753).
[11] Sur le droit souple lire : Étude annuelle 2013 du Conseil d'État - Le droit souple, en ligne à :
[12]
Conseil constitutionnel, Décision n° 2018-765 DC du 12 juin 2018 Loi relative à la protection des données
personnelles.
[13] À comparer aux 9 années nécessaires à la transposition de la directive 95/46/CE, de 1995 à 2004.
[14] Attendue pour fin décembre 2018.
[15] Ibid. § 12.
[16] Depuis 2004, ses avis ne sont plus opposables à certains traitements administratifs. Le décret autorisant la création du traitement doit simplement être publié accompagné de l’avis de la CNIL. Dans la loi de 1978, en cas d’avis négatif de la CNIL, le décret autorisant le traitement ne pouvait être publié qu’après avis conforme du Conseil d’État (article 14).