Projet de loi numérique : les évolutions attendues de la loi informatique et libertés
Alors que la secrétaire d’Etat au Numérique, Axelle Lemaire, avait présenté en janvier aux députés les grands axes du futur projet de loi numérique, la Cnil a récemment rendu publiques ses propositions. Revue de quelques‑unes de ses préconisations.
Le futur texte consacré au numérique, qui pourrait être présenté d’ici l’été, comprendra notamment un renforcement de la protection de la vie privée et donc une révision de la loi informatique et libertés du 6 janvier 1978 modifiée. En vue de l’élaboration du projet, la Commission nationale informatique et libertés (Cnil) a avancé ses propositions qui concernent les principaux acteurs de l’écosystème “informatique et libertés”, c’est-à-dire les personnes concernées par les traitements (citoyens et consommateurs), les responsables de traitements (entreprises et pouvoirs publics) et l’autorité administrative de contrôle (la Cnil).
Ces préconisations s’inscrivent dans le cadre du futur règlement européen sur la protection de la vie privée, dont l’adoption est attendue pour la fin de cette année. Elles concernent notamment le renforcement des droits des personnes, la simplification des formalités préalables à la mise en œuvre de certains traitements et le renforcement des pouvoirs des autorités de contrôle.
Renforcement et effectivité des droits pour les personnes.
En matière de protection des données personnelles, la Cnil propose de modifier l’article 39 de loi informatique et libertés pour donner aux personnes un accès aux informations relatives à l’origine de la collecte et la durée de conservation de leurs données, sur demande effectuée par voie électronique auprès du responsable de traitement. Elle préconise également de renforcer la e-réputation des mineurs en introduisant dans la loi le droit d’obtenir l’effacement des données relatives à des mineurs sans devoir invoquer un motif légitime comme prévu actuellement. Autrement dit, une sorte de “droit à l’oubli” pour les mineurs, grands utilisateurs des réseaux sociaux.
Transferts de données hors UE : simplification des formalités.
Côté entreprises, l’organisme plaide pour une simplification des formalités pré- alables en cas de transfert des données hors de l’Union européenne. En 2013, la Cnil a traité quelque 1 500 demandes d’autorisation de transferts de données hors UE. Afin d’alléger ce formalisme tout en garantissant un niveau de protection équivalent, la Commission propose d’accorder aux entreprises qui ont conclu des “BCR” (“binding corporate rules” ou “règles d’entreprise contraignantes”) une autorisation unique qui couvrirait leurs transferts.
Adaptation des missions de la Cnil.
Lorsqu’un traitement de données est mis en œuvre illégalement ou porte une atteinte grave à la vie privée, il est possible, estime la Cnil, d’améliorer la procédure actuelle en lui donnant la possibilité de prononcer une suspension du traitement pendant le temps de la procédure de mise en demeure.
Il est également envisagé d’accélérer le déclenchement d’une procédure de sanction pécuniaire. En effet, actuellement, lorsque la situation est particulièrement urgente ou que le manquement ne peut plus être corrigé, comme par exemple une faille de sécurité ponctuelle, le président de la Cnil peut décider de saisir directement la formation restreinte (formation contentieuse de la Cnil) sans mise en demeure préalable du responsable du traitement en cause. Toutefois, dans ce cas de figure, la formation restreinte ne peut prononcer qu’un avertissement, le cas échéant rendu public. La Commission souhaite donc que son président puisse, dans ces situations, désigner directement, sans mise en demeure préalable, un rapporteur aux fins de proposer à la formation restreinte le prononcé d’une sanction pécuniaire, le cas échéant publique, notamment lorsque le manquement constaté n’appelle plus, à la date de la décision, de mesure de correction. Enfin, la Cnil propose une forte augmentation de son pouvoir de sanctions financières en se basant sur la version actuelle du projet de règlement européen qui résulte du compromis adopté par le Parle- ment européen, à savoir 5% du chiffre d’affaires mondial dans la limite d’un milliard d’euros. Aujourd’hui, le montant maximal des sanctions est fixé à 150 000 euros. Le projet de loi numérique permettra certainement d’anticiper au niveau national certaines évolutions du futur règlement européen. Il devrait aussi transposer en droit interne la notion de coresponsabilité (coresponsable de traitement) de la directive du 24 octobre 1995, ce qui pourrait mettre fin aux difficultés quant à la détermination du responsable de traitement et des sous-traitants. La consécration de ce statut de coresponsabilité permettrait ainsi de mieux refléter la réalité de l’implication des différents acteurs dans la mise en œuvre d’un traitement.
Nicolas SAMARCQ,
juriste Informatique et Libertés