LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles


EXPOSE DES MOTIFS

La protection des données à caractère personnel constitue l’une des dimensions du droit au respect de la vie privée ; elle est désormais consacrée comme un droit fondamental à part entière dans la Charte des droits fondamentaux de l’Union européenne (article 8).

La France a toujours été très attentive à cette question et le plus souvent pionnière. Après avoir été l'un des premiers États de l'Union européenne à se doter d'une législation globale de protection des données, avec la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et d’une autorité de contrôle chargée de veiller à son respect – la Commission nationale de l'informatique et des libertés (CNIL) -, notre pays a également su, dès 2004, innover en adoptant une approche permettant de responsabiliser les organismes mettant en œuvre des traitements de données.

Par le recours au correspondant « informatique et libertés » ou en confiant de nouvelles missions à la CNIL comme la certification, l'homologation, la labellisation et la promotion de l'utilisation de technologies protectrices de la vie privée, la France a permis aux différents organismes d'évoluer dans un environnement leur assurant la sécurité juridique dont ils ont besoin tout en protégeant les droits fondamentaux.

La protection des données à caractère personnel revêt une dimension particulière depuis l’avènement de l’ère du numérique. Le partage et la collecte de telles données connaissent en effet un développement spectaculaire. C’est par ce biais que les nouvelles technologies transforment aujourd’hui profondément notre économie et les rapports sociaux.

Dans le même temps et très légitimement, la protection des données à caractère personnel représente un motif de préoccupation croissante chez nos concitoyens. Selon une récente étude de l’institut CSA (septembre 2017), 85 % des Français se disent préoccupés par la protection de leurs données personnelles en général, soit une augmentation de 4 points par rapport à 2014. Une question qui suscite encore plus d’inquiétude dès lors qu’il s’agit de la protection des données sur Internet : 90 % des personnes interrogées se disent préoccupées pour leurs données mises en ligne, ce qui représente 5 points de progression par rapport à 2014.

Cette préoccupation est largement partagée en Europe. Il s’agit là d’un phénomène qui ne connaît pas les frontières. Devant de telles transformations, il était nécessaire que l’Union européenne envisage une évolution du cadre juridique européen en la matière.

C’est dans ce contexte que la Commission européenne a présenté, en janvier 2012, deux projets distincts définissant un nouveau cadre juridique applicable à la protection des données à caractère personnel. La France a pris une part très active dans les négociations afin de maintenir et promouvoir son modèle de protection des données à caractère personnel qui constitue encore aujourd’hui une référence en Europe et dans le monde. Fruit d’un compromis, le « paquet européen de protection des données » a été adopté par le Parlement européen et le Conseil le 27 avril 2016.

Ce paquet se compose :

- d’un règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données. Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l'Union européenne et offrant des biens et services aux Européens. Ce règlement est applicable à compter du 25 mai 2018 ;

- d’une directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales. Cette directive doit être transposée d’ici le 6 mai 2018.

Le règlement conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi du 6 janvier 1978 (notamment le droit d'information des personnes), et en crée de nouveaux comme le droit à l’effacement ou « droit à l'oubli » et le droit à la portabilité des données.

En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi de 1978. Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d'un système de contrôle a priori de la CNIL, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques.

En contrepartie, la CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'organisme concerné.

Un tel changement de paradigme nécessite une évolution des missions et pouvoirs de l'ensemble des autorités de protection des données de l'Union européenne et ainsi de la CNIL.

Dans ce nouvel environnement juridique, la CNIL devra notamment accompagner plus encore les acteurs, notamment les petites et les moyennes entreprises qui doivent s’adapter aux nouvelles obligations en matière de protection des données. Il s’agit également de créer un cadre juridique sécurisé pour les opérateurs compatible avec la volonté d’attractivité économique de notre territoire.

Les autorités de contrôle devront également coopérer rapidement, afin de parvenir à une position commune unique pour toute l'Union européenne, gage d’une plus grande sécurité juridique pour les responsables de traitement et d’une application uniforme en matière de protection des données.

La directive, abrogeant la décision cadre 2008/977/JAI, fixe les règles applicables à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale.

La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour des finalités qui ne sont pas pénales ou par une autorité qui n’est pas compétente.

La directive n’est pas non plus applicable aux traitements intéressant la sûreté de l’État et la défense, qui ne relèvent pas du droit de l’Union européenne.

L’articulation entre la directive et le règlement est précisée par le considérant 12 de la directive. Celui-ci indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d'autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non ». Il précise que « ces activités peuvent également comprendre l'exercice de l'autorité par l'adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d'émeutes », et que « parmi ces activités figure également le maintien de l'ordre public lorsque cette mission est confiée à la police ou à d'autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ». Il indique en revanche, qu’entrent dans le champ d’application du règlement, pour autant qu'ils relèvent du droit de l'Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d'autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d'enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

Les principales innovations de la directive consistent en la création :

- d’un droit à l’information de la personne concernée par les données personnelles traitées ;

- d’un droit d’accès, de rectification et d’effacement s’exerçant par principe de manière directe, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.

Elle précise également les conditions applicables aux transferts de données à caractère personnel vers les autres États membres, vers les États tiers et vers des entités privées au sein d’États tiers en instaurant un mécanisme à plusieurs niveaux en fonction du degré d' « adéquation » du niveau de protection des données. Elle prévoit enfin que tous les accords incompatibles avec les règles de protection des données doivent être renégociés ou complétés par des protocoles pour assurer la protection des données à caractère personnel.

Le règlement étant directement applicable, le projet de loi ne peut recopier ses dispositions. Il en est ainsi des dispositions relatives au délégué à la protection des données. Toutefois, le règlement prévoit plus d’une cinquantaine de marges de manœuvre qui permettent aux États membres de préciser certaines dispositions ou de prévoir plus de garanties que ce que prévoit le droit européen. Certaines marges de manœuvre permettent de maintenir des dispositions déjà existantes dans notre droit national. D’autres, en revanche, peuvent être mises en œuvre afin notamment de prendre en compte l'évolution technologique et sociétale. A cet égard, l’article 8 du règlement fixe à 16 ans l’âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l'information, tout en laissant aux États membres la possibilité d’abaisser cet âge du consentement jusqu’à 13 ans. Le Gouvernement ayant fait le choix de ne pas faire usage de cette marge de manœuvre, le projet de loi ne contient aucune disposition sur l’âge du consentement, le seuil de 16 ans fixé par le règlement s’appliquant.

Le rapport annuel du Conseil d’État de 2014, intitulé Le numérique et les droits fondamentaux a souligné la nécessité de repenser la protection des droits fondamentaux afin de mettre le numérique au service des droits individuels et de l'intérêt général.

De même, le rapport d'information déposé en février 2017, par la commission des lois constitutionnelles, de la législation et de l'administration générale de la République de l’Assemblée nationale a également révélé l'importance des « incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française ».

Le présent projet de loi a pour objet d’assurer la mise en conformité de notre droit national avec ces nouvelles exigences.

A cet égard, le Gouvernement a fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978. Certes, l’adaptation du droit national au règlement et la transposition de la directive exigent de remanier plusieurs articles de cette loi, mais les principes fondateurs dégagés par le législateur il y a près de quarante ans demeurent toujours valables.

Le projet de loi comprend un titre Ier relatif aux dispositions communes au règlement (UE) 2016/679 et à la directive (UE) 2016/680, un titre II qui rassemble les différentes marges de manœuvre permises par le règlement, un titre III portant transposition de la directive, un titre IV permettant une habilitation pour procéder notamment aux mesures de coordination dans la loi du 6 janvier 1978, et enfin un titre V contenant des dispositions diverses et finales.

Le titre I er traite des dispositions communes au règlement (UE) 2016/679 et à la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016.

Son chapitre I er concerne les dispositions relatives à la Commission nationale de l’informatique et des libertés.

L’article 1 er relatif aux missions de la Commission, complète l’article 11 de la loi du 6 janvier 1978. Tirant les conséquences de la nouvelle logique de responsabilisation prévue par le règlement pour les responsables de traitement, le projet de loi confie de nouvelles missions à la CNIL, autorité de contrôle au sens et pour l’application du règlement, pour accompagner ces responsables et favoriser un environnement juridique sécurisé à travers des instruments de droit souple dont la normativité est graduée : établissement et publication de lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité et l’évaluation préalable des risques par les responsables de traitement et des sous-traitants, publication de méthodologies de référence pour les traitements de données de santé, encouragement à l’élaboration de codes de conduites, établissement et publication de règlements types en vue d’assurer la sécurité des systèmes, pouvant contenir des prescriptions techniques et organisationnelles supplémentaires pour le traitement de certaines données (données biométriques, génétiques et de santé, données d’infraction).

L’article 1er du projet de loi précise en outre que la CNIL peut agréer des organismes certificateurs, sur la base de l’accréditation délivrée par le Comité français d'accréditation (COFRAC) et certifier des personnes, des produits, des systèmes ou des procédures aux fins d’en démontrer la conformité avec le règlement et le droit national, y compris dans le cadre des processus d’anonymisation des données.

L’article 1er prévoit également que la CNIL peut être consultée par le Président de l’Assemblée nationale ou le Président du Sénat sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données, ainsi que le prévoit l’article 57 du règlement.

Enfin, l’article 1er prévoit que la CNIL peut présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement et de la loi du 6 janvier 1978.

L’article 2 modifie l’article 13 de la loi du 6 janvier 1978 pour prévoir que les deux personnalités qualifiées désignées par les présidents des deux assemblées parlementaires le sont au regard de leur connaissance du numérique mais également des questions touchant aux libertés individuelles, à l’instar des trois personnalités qualifiées nommées par décret.

L’article 3 modifie les articles 17 et 18 de la loi du 6 janvier 1978 pour prévoir d’une part, que les membres de la CNIL délibèrent hors de la présence des agents de la commission, d’autre part, la présence facultative et non plus obligatoire du commissaire du Gouvernement auprès de la CNIL lors des délibérations de la Commission en formation restreinte, sans participation au délibéré.

L’article 4 modifie l’article 44 de la loi du 6 janvier 1978 pour préciser le cadre d’intervention des agents et membres de la CNIL en cas de contrôle de la mise en œuvre des traitements. Il précise, en premier lieu, la nature des locaux dans lesquels les agents de la CNIL peuvent procéder à des contrôles sur place, tout en préservant l’exclusion du domicile privé et les garanties entourant les contrôles (droit d’opposition du responsable à la visite, autorisation du juge des libertés et de la détention en cas d’opposition, assistance d’un conseil, recours contre l’autorisation et le déroulement des opérations). Il prévoit notamment que ces derniers peuvent demander communication de tous documents, quel qu'en soit le support, et en prendre copie et peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles.

Il prévoit, en deuxième lieu, que le secret ne peut être opposé aux agents de la CNIL dans l’exercice des contrôles, sauf en matière de secret professionnel applicable aux relations entre un avocat et son client, de secret des sources des traitements journalistiques et, sous certaines conditions, le secret médical.

L’article 4 prévoit par ailleurs la possibilité d’utilisation d’une identité d’emprunt lors des contrôles en ligne, sans que celle-ci n’ait une incidence sur la régularité de la procédure.

Enfin, l’article 4 précise, conformément à ce que prévoient les articles 55 du règlement et 45 de la directive, que la CNIL n’est pas compétente pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle.

L’article 5 précise la procédure de coopération entre la CNIL et les autres autorités de contrôle de l’Union européenne prévue par le chapitre VII du règlement, à la fois lorsque la CNIL est autorité de contrôle chef de file ou en tant qu’autorité concernée. Il prévoit notamment que lorsqu’une opération de contrôle conjointe se déroule sur le territoire français, des membres et agents des autres autorités de contrôle participant, le cas échéant, à l’opération peuvent être présents auprès des membres ou agents habilités de la Commission, agissant en tant qu’autorité de contrôle d’accueil. Ils peuvent, dans ce cadre, être habilités par le président de la CNIL pour exercer, sous son autorité, tout ou partie des pouvoirs de vérification et d’enquête dont disposent les membres et les agents de la commission. La procédure prévoit également que la CNIL peut saisir le comité européen à la protection des données chargé de veiller à une application cohérente du règlement dans l’ensemble de l’Union européenne.

L’article 6 traite des mesures correctrices et sanctions que la CNIL peut prendre en application de l’article 58 du règlement en cas de méconnaissance par le responsable de traitement ou le sous-traitant de ses obligations découlant du règlement ou de la loi. Il précise notamment celles qui peuvent être prises par la formation restreinte de la Commission et celles que le président peut prendre, le cas échéant après mise en demeure. Les mesures correctrices peuvent être assorties, dans certains cas, d’une astreinte. Les mêmes mesures peuvent également être prises à l’égard d’un organisme de certification.

Le chapitre II contient un article 7 unique qui traite des dispositions relatives à certaines catégories de données.

Cet article modifie la rédaction de l’article 8 de la loi du 6 janvier 1978 pour épouser les dispositions du 1 de l’article 9 du règlement. Il reprend le principe d’interdiction de traitement de données dites « sensibles » tout en élargissant le champ de ces données par rapport à la rédaction actuelle de l’article 8 de la loi (interdiction de traiter des données génétiques, biométriques aux fins d’identifier une personne physique de manière unique, données concernant l’orientation sexuelle d’une personne).

Il complète par ailleurs les cas dans lesquels de telles données peuvent être exceptionnellement traitées, outre les cas prévus par l’article 9.2 du règlement.

Le titre II du projet de loi traite des marges de manœuvre permises par le règlement.

Le champ d'application matériel du règlement, fixé par son article 2, repose sur l'existence d'activités qui relèvent du champ d'application du droit de l'Union européenne. Le champ d'application territorial, fixé par l’article 3 du règlement, repose sur deux critères : d’une part, l'existence d'un établissement sur le territoire de l'Union européenne, que le traitement ait lieu ou non dans l’Union européenne, d’autre part, le fait que le traitement est effectué à l’égard des résidents européens (offre de biens ou de services de personnes dans l'Union ou encore suivi d'un comportement au sein de l'Union).

Le règlement exige que soit déterminé avec précision le champ d'application de la loi nationale. Tel est l'objet de l'article 8 du chapitre Ier du projet de loi. Il prévoit qu’en cas de divergences de législations entre États membres de l’Union européenne liées aux marges de manœuvre laissées à ces derniers sur plusieurs points (notamment les spécificités nationales pouvant concerner les droits de la personne en cause, les obligations du responsable de traitement ou du sous-traitant, les pouvoirs des autorités de contrôle), la loi nationale s’applique dès lors que la personne réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. Toutefois, dans le cadre des traitements à des fins journalistiques mentionnés à l’article 85 du règlement, le droit applicable est celui dont relève le responsable de traitement, lorsqu’il est établi dans l’Union européenne. Cette situation trouvera à s’appliquer par exemple dans le domaine de l’audiovisuel ou de la presse ainsi que le précise le considérant 153 du règlement.

Le chapitre II contient des dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements.

Actuellement, les traitements de données à caractère personnel sont, par principe, soumis à un régime déclaratoire. Pour certains traitements portant sur des données sensibles ou mis en œuvre par l’État, ou pour le compte d'un établissement public ou d'une personne morale de droit privé gérant un service public, un régime d’autorisation est prévu : autorisation par la CNIL (article 25), par arrêté ministériel, pris après avis motivé et publié de la CNIL (article 26, I) ou non-publié (article 26, III), par un acte réglementaire unique (article 26, IV et 27, III), par décret en Conseil d’État, pris après avis motivé et publié de la CNIL (article 27, I).

La nouvelle logique de responsabilisation prévue par le règlement conduit à supprimer la plupart des formalités préalables.

L'article 9 du projet de loi supprime ainsi le régime de déclaration préalable prévu aux articles 22 à 24 de la loi du 6 janvier 1978. les responsables de traitement devront donc mener une analyse d'impact afin de mesurer le risque en matière de protection des données, et, le cas échéant, consulter la CNIL lorsque le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

Cet article instaure une formalité préalable particulière pour les traitements qui nécessitent l’utilisation du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR). Ce type de traitements sont ainsi autorisés par un décret-cadre pris après avis motivé et publié de la CNIL qui définit des catégories de responsables de traitement et les finalités pour lesquelles les traitements peuvent être mis en œuvre. Des exceptions sont prévues pour certains traitements identifiés (traitements à finalités de statistique publique, de recherche scientifique ou historique, de téléservices) dès lors que le NIR fait l'objet préalablement d’une opération cryptographique lui substituant un code statistique non signifiant.

Cet article supprime également les formalités préalables prévues à l’article 27, à savoir un régime d’autorisation par décret en Conseil d’État pris après avis motivé et publié de la CNIL, à l’exception des traitements mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes.

Enfin, cet article abroge les formalités préalables prévues par les articles 25 (régimes d’autorisation par la CNIL) qui ne sont pas imposées par le règlement, ce dernier prévoyant une consultation de l’autorité de contrôle en cas de « risque élevé ». Ce risque devra être apprécié, selon la logique de responsabilisation qui est celle du règlement, par le responsable de traitement et non par matière.

Le chapitre III traite des obligations incombant aux responsables de traitements et sous‑traitants.

Son article 10 complète l’article 35 de la loi du 6 janvier 1978 pour prévoir que les sous-traitants des responsables de traitement doivent, dans le champ d’application du règlement, respecter les obligations prévues par ledit règlement.

Le chapitre IV traite des dispositions relatives à certaines catégories particulières de traitement. Son article 11 précise les conditions dans lesquelles le législateur entend autoriser le traitement de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes et prévoit ainsi des garanties appropriées pour les droits et libertés des personnes concernées qui découlent de l'article 10 du règlement.

Il prévoit notamment que de tels traitements peuvent, outre les juridictions, les autorités publiques et les personnes morales gérant un service public, être également mis en œuvre par des personnes morales de droit privé collaborant au service public de la justice. Il s’agit notamment des associations d’aide aux victimes et des associations de réinsertion des personnes placées ou anciennement placées sous main de justice.

Le 3° de cet article permet également aux personnes physiques ou morales de pouvoir mettre en œuvre de tels traitements afin qu’elles puissent préparer et le cas échéant, exercer et suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée proportionnée à cette finalité. Les garanties qui entourent cette possibilité tiennent compte de la décision n° 2004-499 DC du Conseil constitutionnel du 29 juillet 2004.

Enfin, cet article prévoit la possibilité de tels traitement par des réutilisateurs des informations publiques figurant dans les décisions de justice, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la ré-identification des personnes concernées.

L’article 12 est relatif aux traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique et historique, ou à des fins statistiques. Il s’agit de préciser les marges de manœuvre relatives aux mesures concernant de tels traitements permises par l’article 89 du règlement, lequel autorise le droit national à prévoir des dérogations à certains droits des personnes concernées (droits d’accès, de rectification, d’opposition, à la limitation du traitement, portabilité), sous certaines conditions, dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

L’article 13 traite enfin des traitements de données à caractère personnel dans le domaine de la santé, en modifiant le chapitre IX de la loi du 6 janvier 1978.

Il prévoit que pour les traitements contenant des données concernant la santé des personnes justifiés par une finalité d’intérêt public, des référentiels, des règlements types et des méthodologies de référence peuvent être établies par la CNIL, en concertation avec l’Institut national des données de santé. Ces référentiels, règlements types et méthodologies de références constitueront la règle et les autorisations par la CNIL devenant l’exception.

Il prévoit des dispositions particulières pour traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé.

Le chapitre IV contient des dispositions particulières aux droits des personnes concernées.

Anticipant le développement d’une administration numérique, voire 100 % dématérialisée, et prenant acte de la demande de nos concitoyens d’une plus grande rapidité de décision, l’article 14 tire parti de la marge de manœuvre prévue au b) du 2 de l’article 22 du règlement, pour ouvrir plus largement la possibilité pour l’administration de recourir à des décisions automatisées (prises sur le fondement d’un algorithme), à la condition d’offrir d’importantes garanties en contrepartie, en matière d’information pleine et entière des personnes, de droits de recours et de données traitées et de maîtrise par le responsable du traitement algorithmique et de ses évolutions.

L’article 15 complète l’article 40 de la loi du 6 janvier 1978 pour utiliser la marge de manœuvre prévue à l’article 23 du règlement relatif à la limitation de certains droits des personnes concernées. Cet article prévoit la possibilité pour le droit national de limiter, par la voie de mesures législatives, la portée des obligations et des droits des personnes concernées (droit à l’information droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité, droit d’opposition, etc.), lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs (sécurité nationale, défense nationale, sécurité publique, prévention et la détection d'infractions pénales, protection de l'indépendance de la justice et des procédures judiciaires, objectifs importants d'intérêt public général de l'Union ou d'un Etat membre,…). Le considérant 41 du règlement précise à cet égard qu’« une mesure législative » au sens de cet article, « ne signifie pas nécessairement que l'adoption d'un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l'ordre constitutionnel de l'Etat membre concerné ».

L’article 15 prévoit ainsi qu’un décret en Conseil d’État pourra fixer la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du règlement lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

Le chapitre V traite des voies de recours.

La loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle a introduit une action de groupe en matière de protection des données à caractère personnel.

L’article 16 crée un nouvel article 43 quater dans la loi du 6 janvier 1978 pour prévoir qu’une personne concernée peut mandater une association ou une organisation aux fins d’exercer en son nom une réclamation auprès de la CNIL (article 77 du règlement), un recours juridictionnel contre la CNIL (article 78) ou contre un responsable de traitement ou un sous-traitant (article 79). Il s’agit de préciser les modalités d’exercice de ce droit prévu par l’article 80-1 du règlement. Cet article transpose également l’article 55 de la directive permettant les réclamations et recours par l’intermédiaire d’une association pour les traitements relevant de la directive.

L’article 17 introduit une nouvelle voie de recours pour la CNIL pour tenir compte de l’arrêt de la Cour de justice de l’Union européenne du 6 octobre 2015, C-362/14. Le nouvel article 43 quinquies de la loi du 6 janvier 1978 précitée prévoit ainsi que, dans le cas où, saisie d’une réclamation dirigée contre un responsable de traitement ou un sous-traitant, la CNIL estime fondés les griefs avancés relatifs à la protection des droits et libertés d’une personne à l’égard du traitement de ses données dans le cadre de transferts de données vers des États non membres de l’Union européenne ou à des organisations internationales, elle peut demander au Conseil d’État d’ordonner, dans l’attente de l’appréciation par la Cour de justice de l’Union européenne de la validité, la suspension ou la cessation du transfert de données en cause, le cas échéant sous astreinte. Dans ce cas, le Conseil d’État devra saisir la Cour de justice de l’Union européenne à titre préjudiciel sur la validité de la décision d’adéquation prise par la Commission européenne sur le fondement de l’article 45 du règlement, ou de tout autre acte de la Commission autorisant ou approuvant les garanties appropriées dans le cadre des transferts de données pris sur le fondement de l’article 46 du même règlement (clause-type de protection des données, code de conduite, mécanisme de certification). L’article 17 étend ces recours à la contestation des décisions d’adéquation prises sur le fondement de la directive pour permettre la saisine du Conseil d’État d’une question préjudicielle à la Cour de justice de l’Union européenne permettant d’apprécier la validité d’une telle décision d’adéquation.

Le titre III concerne les dispositions portant transposition de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016.

L’article 18 assure les coordinations nécessaires à l’article 32 de la loi du 6 janvier 1978 pour tirer les conséquences de la création d’un droit à l’information de la personne concernée en matière pénale par la directive. Il supprime l’exercice indirect des droits d’accès, de rectification et d’effacement des données prévu par l’article 42 de la loi actuelle pour les traitements intéressant la police judiciaire et ajoute une coordination nécessaire à l’article 41 de cette même loi pour les traitements intéressant la sécurité publique, la directive prévoyant par principe l’exercice direct de ces droits par la personne concernée auprès du responsable du traitement.

L’article 19 insère, dans un chapitre unique, l’ensemble des règles applicables aux traitements de données à caractère personnel en matière pénale prévues par la directive.

Ces règles fixées par les nouveaux articles 70-1 à 70-27 s’appliquent par dérogation aux autres dispositions de la loi actuelle.

Les articles 70-1 à 70-10 traitent, dans une section 1, des dispositions générales. Ils déterminent notamment le champ d’application de ces dispositions dérogatoires et les conditions de licéité de ces traitements, ainsi que les règles particulières applicables aux traitements de données sensibles.

L’article 70-3 précise que sont maintenues les exigences actuelles de la loi du 6 janvier 1978 précitée concernant la création de traitements mis en œuvre pour le compte de l’État, à savoir un acte réglementaire pris après avis de la CNIL, arrêté ou décret en Conseil d’État selon la nature des informations concernées.

L’article 70-4 transpose l’exigence de production d’une analyse d’impact qui résulte des articles 27 et 28 de la directive.

Les articles 70-11 à 70-17 traitent, dans une section 2, des obligations incombant aux autorités compétentes et aux responsables de traitements, résultant de divers articles de la directive.

Ils précisent notamment les mesures de sécurité à respecter et les obligations mises à la charge du responsable du traitement, et également dans certains cas de son sous-traitant, de tenir un registre des activités de traitement, d’établir un journal pour certaines opérations de traitement, de coopérer avec la CNIL, de communiquer toute violation de données à cette dernière et à la personne concernée et de désigner un délégué à la protection des données.

Les articles 70-18 à 70-24 traitent, dans une section 3, des droits des personnes concernées, résultant des articles 12 à 18 de la directive.

Les articles 70-18 à 70-20 créent un droit à l’information de la personne concernée en matière pénale, et prévoient l’exercice par principe direct des droits d’accès et de rectification par la personne concernée auprès du responsable du traitement.

Les articles 70-21 et 70-22 précisent les restrictions possibles à ces droits, qui pourront intervenir si l’acte instaurant le traitement le permet, ainsi que la possibilité pour la personne concernée, lorsque de telles restrictions interviendront, d’exercer ces droits par l’intermédiaire de la CNIL.

L’article 70-23 prévoit la gratuité des informations transmises par le responsable du traitement à la personne concernée dans l’exercice de ses droits, sauf exception.

L’article 70-24 prévoit que ces dispositions ne s’appliquent pas lorsque les données figurent soit dans une décision judiciaire, soit dans un dossier judiciaire faisant l’objet d’un traitement lors d’une procédure pénale.

Les articles 70-25 à 70-27 traitent, dans une section 4, des transferts de données à caractère personnel vers des États n'appartenant pas à l’Union européenne ou vers des destinataires établis dans des pays tiers

L’article 70-25 définit les nouvelles règles applicables à ces transferts, transposant les articles 35, 36 et 37 de la directive applicables aux échanges de données avec les autorités homologues des autorités compétentes en France pour la prévention ou la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution des sanctions pénales, c’est-à-dire les autorités judiciaires et les forces de police et de gendarmerie.

L’article 70-26 prévoit des exceptions aux règles ainsi définies conformément à l’article 38 de la directive pour permettre certaines transmissions au cas par cas dans cinq situations limitativement énumérées.

L’article 70-27 permet le transfert direct de données à caractère personnel par des autorités publiques à des destinataires établis dans un État n’appartenant pas à l’Union européenne conformément aux dispositions de l’article 39 de la directive.

Le titre IV comporte un article 20 qui a pour objet de prévoir une habilitation. Sans remettre en cause les choix du législateur dans le cadre du présent projet de loi, l’habilitation a pour objet de permettre au Gouvernement de prendre, dans un délai de six mois, une ordonnance pour procéder à une réécriture de l’ensemble de la loi du 6 janvier 1978 afin notamment d’améliorer son intelligibilité, de mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel et d’en prévoir l’application à l’outre-mer.

Enfin, le titre V est relatif aux dispositions diverses et finales.

L’article 21 procède à des mesures de coordination du fait notamment de la disparation de certaines formalités préalables.

L’article 22 prévoit que pour les traitements ayant fait l’objet de formalités antérieurement à l’entrée en vigueur de la présente loi, l’obligation pour la CNIL, prévue à l’article 31 de la loi du 6 janvier 1978, de mettre à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements arrêtée à cette date, s’effectuera pour une durée de dix ans.

L’article 23 vise à modifier l’article 230-8 du code de procédure pénale relatif au traitement d'antécédents judiciaires afin de tenir compte de la décision 2017-670 QPC du 27 octobre 2017 par laquelle le Conseil constitutionnel a censuré le premier alinéa de cet article, dans sa rédaction résultant de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale. Ces dispositions sont étendues à l’outre-mer.

Enfin, l’article 24 précise la date d'entrée en vigueur des dispositions de la présente loi au 25 mai 2018.

Il permet cependant, pour les traitements relevant de la directive, conformément à l’article 63 de celle-ci, un report de l’obligation de journalisation au 6 mai 2023 ou au 6 mai 2026.