Moins de 18 mois avant l’entrée en application du Règlement communautaire adoptée le 27 avril 2016 et qui fixe un nouveau cadre harmonisé de la protection des données personnelles au sein de l’Union Européenne, la loi n° 2016-1321 du 7 octobre 2016 « pour une république numérique » vient modifier la loi n° 78-17 du 6 janvier 1978 (« Loi Informatique et Libertés »).
Moins de 18 mois avant l’entrée en application du Règlement communautaire adoptée le 27 avril 2016 et qui fixe un nouveau cadre harmonisé de la protection des données personnelles au sein de l’Union Européenne, la loi n° 2016-1321 du 7 octobre 2016 « pour une république numérique » vient modifier la loi n° 78-17 du 6 janvier 1978 (« Loi Informatique et Libertés »).
Les impacts de cette nouvelle loi concernent aussi bien la Commission Nationale de l’Informatique et des Libertés (« CNIL ») que les acteurs d’un traitement (à savoir les personnes concernées par le traitement, les responsables de traitement).
1/- Un renforcement signification de la sanction pécuniaire : 3 millions d’euros !
Avec la Loi pour une République Numérique (« LRN »), le plafond des sanctions pécuniaires, applicable en cas de non-conformité, passe de 150 000 € (jusqu’à présent) à 3 millions d’euros. À elle seule, cette nouveauté incarne la volonté politique dégagée par ce texte : une plus grande sévérité pour inciter les entreprises à se préparer activement à la mise en conformité avec le règlement communautaire, adopté le 27 avril 2016 et dont les sanctions (allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires) seront applicables au 25 mai 2018.
2/- De nouvelles missions pour la CNIL
La LRN confère à la CNIL les nouvelles missions suivantes :
● Certification ou homologation de dispositifs d’anonymisation : on le sait, l’un des enjeux majeurs du marché émergeant de la « donnée » consiste à tirer de celle-ci sa valeur informationnelle tout en respectant la vie privée ; dans un certain nombre de cas, il est possible de préserver cette valeur tout en détruisant le lien permettant d’identifier une personne physique, c’est-à-dire en les rendant anonymes ; néanmoins, rares sont les données véritablement anonymes, car la faculté de ré-identification est très souvent possible en raison de l’absence de certaines précautions prises sur le plan technique et organisationnel ; les entreprises évoluant dans l’univers numérique trouveront un intérêt particulier dans ces certifications/homologations délivrées par la CNIL, qui leur donnera une garantie non négligeable pour leurs clients.
● Consultation préalable par le législateur, sur tout projet de texte relatif à la protection des données personnelles : cet élargissement répond aux inquiétudes exprimées par la CNIL, en 2013, qui avait déploré publiquement ne pas avoir été saisie au sujet des dispositions relatives à l’accès aux données de connexion contenues dans la loi de programmation militaire
● Conduite de réflexion sur les enjeux éthiques et des questions de société soulevée par l’évolution des technologies numériques : la CNIL sera amenée à identifier et promouvoir des technologies protectrices de la vie privée.
● Rapprochement avec d’autres autorités administratives indépendantes : la LRN prévoit un rapprochement et une coopération de la CNIL avec la Commission d’Accès aux Documents Administratifs (« CADA »), ainsi qu’avec l’Autorité de Régulation des Communications Electroniques et des Postes (« ARCEP »).
3/- De nouvelles règles pour les acteurs d’un traitement
3.1/- Un élargissement des droits pour les personnes concernées
● De nouveaux droits pour les mineurs : toute personne, dont les données ont été collectées « dans le cadre de l’offre de service de la société de l’information » et alors qu’elle était mineure, dispose, selon le nouveau texte, d’un droit à l’effacement de ses données, sans justifier d’un motif légitime. Ce droit à effacement anticipe l’article 17 du RGDP, qui prévoit une règle similaire. Par ailleurs, les mineurs de 15 ans ou plus pourront désormais s’opposer à ce que leurs parents – ou tuteurs légaux – accèdent à certaines de leurs données « collectées dans le cadre de la recherche, de l’étude ou de l’évaluation dans le domaine de la santé ».
● L’instauration d’un droit à la portabilité : la LRN anticipe le RGDP en prévoyant d’ores et déjà que tout consommateur aura désormais un « droit de récupération de l’ensemble de ces données ». Néanmoins, le texte français précise que ce droit à la portabilité n’entrera en vigueur qu’au 25 mai 2018. Il est donc permis de s’interroger sur l’utilité de cette innovation, puisque le RGDP entrera de toute façon en vigueur à cette même date et prévoira, lui, que ce droit à la portabilité bénéficiera à toute personne, et pas simplement aux consommateurs.
● Le sort des données après le décès de la personne : la LRN prévoit le droit, pour toute personne concernée par un traitement, de « définir des directives » relatives à leur conservation, leur effacement et leur communication à des tiers. Ces directives peuvent être, soit générales (auquel cas elles peuvent être enregistrées auprès d’un tiers de confiance certifiée par la CNIL), soit particulières (auquel cas elles sont enregistrées auprès du responsable de traitement concerné).
3.2/- De nouvelles obligations pour le responsable de traitement (« RT »)
● De nouvelles mentions d’information : la LRN ajoute aux mentions d’informations (que tout RT doit délivrer aux personnes lors de la collecte), d’une part la durée de conservation des données et, d’autre part, l’existence des droits relatifs au sort de ces données après son décès (Cf. supra).
● L’exercice des droits par voie électronique : le nouveau texte précise que tout responsable de traitement ayant collecté des données par voie électronique est désormais obligé de prévoir que les droits d’accès, de rectification et d’oppositions peuvent s’exercer par la même voie, sans les contraindre (comme le font encore de nombreux responsables de traitement) à les exercer par d’autres voies comme la voie postale.
2711 vues 
