Loi pour une république numérique et données personnelles : une première étape vers le Règlement communautaire !

Moins de 18 mois avant l’entrée en application du Règlement communautaire adoptée le 27 avril 2016 et qui fixe un nouveau cadre harmonisé de la protection des données personnelles au sein de l’Union Européenne, la loi n° 2016-1321 du 7 octobre 2016 « pour une république numérique » vient modifier la loi n° 78-17 du 6 janvier 1978 (« Loi Informatique et Libertés »).

Moins de 18 mois avant l’entrée en application du Règlement communautaire adoptée le 27 avril 2016 et qui fixe un nouveau cadre harmonisé de la protection des données personnelles au sein de l’Union Européenne, la loi n° 2016-1321 du 7 octobre 2016 « pour une république numérique » vient modifier la loi n° 78-17 du 6 janvier 1978 (« Loi Informatique et Libertés »).

Les impacts de cette nouvelle loi concernent aussi bien la Commission Nationale de l’Informatique et des Libertés (« CNIL ») que les acteurs d’un traitement (à savoir les personnes concernées par le traitement, les responsables de traitement).

 

1/- Un renforcement signification de la sanction pécuniaire : 3 millions d’euros !

Avec la Loi pour une République Numérique (« LRN »), le plafond des sanctions pécuniaires, applicable en cas de non-conformité, passe de 150 000 € (jusqu’à présent) à 3 millions d’euros. À elle seule, cette nouveauté incarne la volonté politique dégagée par ce texte : une plus grande sévérité pour inciter les entreprises à se préparer activement à la mise en conformité avec le règlement communautaire, adopté le 27 avril 2016 et dont les sanctions (allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires) seront applicables au 25 mai 2018.

 

2/- De nouvelles missions pour la CNIL

La LRN confère à la CNIL les nouvelles missions suivantes :

Certification ou homologation de dispositifs d’anonymisation : on le sait, l’un des enjeux majeurs du marché émergeant de la « donnée » consiste à tirer de celle-ci sa valeur informationnelle tout en respectant la vie privée ; dans un certain nombre de cas, il est possible de préserver cette valeur tout en détruisant le lien permettant d’identifier une personne physique, c’est-à-dire en les rendant anonymes ; néanmoins, rares sont les données véritablement anonymes, car la faculté de ré-identification est très souvent possible en raison de l’absence de certaines précautions prises sur le plan technique et organisationnel ; les entreprises évoluant dans l’univers numérique trouveront un intérêt particulier dans ces certifications/homologations délivrées par la CNIL, qui leur donnera une garantie non négligeable pour leurs clients.

Consultation préalable par le législateur, sur tout projet de texte relatif à la protection des données personnelles : cet élargissement répond aux inquiétudes exprimées par la CNIL, en 2013, qui avait déploré publiquement ne pas avoir été saisie au sujet des dispositions relatives à l’accès aux données de connexion contenues dans la loi de programmation militaire

Conduite de réflexion sur les enjeux éthiques et des questions de société soulevée par l’évolution des technologies numériques : la CNIL sera amenée à identifier et promouvoir des technologies protectrices de la vie privée.

Rapprochement avec d’autres autorités administratives indépendantes : la LRN prévoit un rapprochement et une coopération de la CNIL avec la Commission d’Accès aux Documents Administratifs (« CADA »), ainsi qu’avec l’Autorité de Régulation des Communications Electroniques et des Postes (« ARCEP »).

 

3/- De nouvelles règles pour les acteurs d’un traitement

3.1/- Un élargissement des droits pour les personnes concernées

De nouveaux droits pour les mineurs : toute personne, dont les données ont été collectées « dans le cadre de l’offre de service de la société de l’information » et alors qu’elle était mineure, dispose, selon le nouveau texte, d’un droit à l’effacement de ses données, sans justifier d’un motif légitime. Ce droit à effacement anticipe l’article 17 du RGDP, qui prévoit une règle similaire. Par ailleurs, les mineurs de 15 ans ou plus pourront désormais s’opposer à ce que leurs parents – ou tuteurs légaux – accèdent à certaines de leurs données « collectées dans le cadre de la recherche, de l’étude ou de l’évaluation dans le domaine de la santé ».

L’instauration d’un droit à la portabilité : la LRN anticipe le RGDP en prévoyant d’ores et déjà que tout consommateur aura désormais un « droit de récupération de l’ensemble de ces données ». Néanmoins, le texte français précise que ce droit à la portabilité n’entrera en vigueur qu’au 25 mai 2018. Il est donc permis de s’interroger sur l’utilité de cette innovation, puisque le RGDP entrera de toute façon en vigueur à cette même date et prévoira, lui, que ce droit à la portabilité bénéficiera à toute personne, et pas simplement aux consommateurs.

Le sort des données après le décès de la personne : la LRN prévoit le droit, pour toute personne concernée par un traitement, de « définir des directives » relatives à leur conservation, leur effacement et leur communication à des tiers. Ces directives peuvent être, soit générales (auquel cas elles peuvent être enregistrées auprès d’un tiers de confiance certifiée par la CNIL), soit particulières (auquel cas elles sont enregistrées auprès du responsable de traitement concerné).

3.2/- De nouvelles obligations pour le responsable de traitement (« RT »)

De nouvelles mentions d’information : la LRN ajoute aux mentions d’informations (que tout RT doit délivrer aux personnes lors de la collecte), d’une part la durée de conservation des données et, d’autre part, l’existence des droits relatifs au sort de ces données après son décès (Cf. supra).

L’exercice des droits par voie électronique : le nouveau texte précise que tout responsable de traitement ayant collecté des données par voie électronique est désormais obligé de prévoir que les droits d’accès, de rectification et d’oppositions peuvent s’exercer par la même voie, sans les contraindre (comme le font encore de nombreux responsables de traitement) à les exercer par d’autres voies comme la voie postale.

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.