Il n’est pas publié mais le gendarme des données personnelles a déjà rendu son avis. Le projet de loi d’adaptation du RGPD en droit français satisfait globalement la Cnil, qui exprime toutefois quelques inquiétudes, notamment en termes de calendrier et de lisibilité.
Le RGDP représente un changement de paradigme aux yeux de la Cnil : « alors que la loi de 1978 reposait en grande partie sur une logique de formalités préalables (déclaration, autorisation, etc.), le Règlement repose sur une logique de conformité continue, tout au long du cycle de vie de la donnée, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur ». Ce qui peut être compris comme une difficulté supplémentaire pour les entreprises qui devront se mettre en conformité, d’autant que les régulateurs se verront accorder des pouvoirs de contrôle et de sanctions renforcés.
Mais encore faudra-t-il que le gouvernement et le parlement traduisent ce règlement en droit français. C’est juste le sens de ce « projet de loi relatif à la protection des données personnelles » présenté en Conseil des Ministres et sur lequel la Cnil publie aujourd’hui son avis. Le projet législatif n’a pour sa part pas encore été publié, mais le texte de la délibération livre des éléments sur son contenu, nous y reviendrons dans un article ultérieur.
Un bon point
La Cnil note que le projet de loi remplit « globalement » sa mission, à savoir appliquer en droit français les dispositions du RGPD en modifiant notamment certains articles de la loi Informatique et Libertés du 6 janvier 1978. Elle applaudit également « la prise en compte de ses observations », le RGPD laissant une certaine marge de manœuvre sur certains points. Ainsi l’étendue des pouvoirs de contrôle de la Cnil, ses possibilités d’opérer conjointement avec les autres régulateurs européens, le droit à l’oubli spécifique aux mineurs ou encore la clarification des conditions de traitement des données biométriques.
Par contre, notre gendarme des données personnelles aurait apprécié que d’autres de ses propositions soient retenues sur le terrain des algorithmes ou encore sur l’adaptation des procédures pour répondre à l’augmentation de son activité dans le cadre du RGPD. Mais en dehors des dispositions précises du projet de loi, la Cnil s’inquiète sur le texte dans sa globalité. Celui-ci présente en effet un « défaut de lisibilité de l’état du droit ».
Besoin urgent d’ordonnance
La première complexité est inhérente au texte européen. Ou plutôt aux textes : on l’oublie souvent mais le cadre européen est constitué du fameux règlement, mais aussi d’une directive. On a donc un premier texte « qui ne nécessite formellement aucune mesure de transposition en droit interne » et un autre qui doit être transposé. « Cette combinaison d’un Règlement et de textes nationaux remplacera le corpus unique que constitue aujourd’hui la loi de 1978 » signale la Cnil.
Et le projet de loi vient aggraver cette complexité, puisque la loi de 1978 n’est modifiée qu’a minima : « le Gouvernement a fait le choix de n’opérer que les modifications strictement indispensables ». La réécriture d’ensemble de la loi Informatique et Libertés se fera par ordonnance, renvoyée aux calendes grecques. Il faudra donc que le citoyen ou l’entreprise soucieuse consulte le règlement européen, la loi modifiée et d’autres éventuelles dispositions réglementaires, en une future ordonnance.
Pire encore que la difficulté de trouver l’information, le risque de tomber sur une information fausse. Certaines dispositions de la loi de 1978 restent inchangées alors qu’elles ne seront dans les faits plus applicables. « La loi du 6 janvier 1978 ne donnera pas de grille de lecture permettant aux citoyens et aux responsables de traitement de comprendre les droits et obligations différenciés qui existeront demain » écrit la Cnil, appelant à une adoption rapide de l’ordonnance.
Un peu short sur les deadlines
Ce problème de lisibilité est imbriqué avec le calendrier choisi par le gouvernement. Trop tardif selon le régulateur. La Cnil pointe « un risque réel de non-respect des délais de mise en œuvre du paquet européen ». Ce qui aura des conséquences juridiques, évidemment, mais aussi opérationnelles et symboliques, la crédibilité de la France en prenant un coup au passage.
Le RGPD doit être appliqué à partir du 25 mai 2018 (le 6 mai pour la directive). Or nous sommes mi-décembre et le texte vient tout juste d’être présenté en Conseil des Ministres. Reste encore à examiner, amender et adopter le texte, publier la loi au JORF mais aussi concocter et publier les décrets d’applications et la modification du règlement intérieur de la Cnil. Il ne va pas falloir chômer cet hiver.