Un nouveau règlement général sur la protection des données personnelles en 2018

Dans son article 8, la Charte des droits fondamentaux de l'Union européenne place le droit au respect de la vie privée comme un droit fondamental à part entière. Et la protection des données à caractère personnel en est l'une des principales dimensions. Pour adapter notre législation nationale, un projet de loi a été déposé le 13 décembre 2017 (1) à l'assemblée nationale. Et sa lecture promet une future législation française particulièrement complexe s'il est adopté tel quel.

Ce projet de loi a été déclaré d'urgence et il devra être voté par les assemblées parlementaires dans un délai extrêmement court afin de permettre sa mise en application et la parution des décrets au plus tard le 25 mai 2018. Autrement dit, l'examen parlementaire sera express.

Cette précipitation laisse mal augurer de la sérénité des débats parlementaires nécessaires. On risque donc de se retrouver avec une usine à gaz dont même la vénérable CNIL (2) souligne les risques. Et parmi ceux-ci, la modification en profondeur de la Loi 78-17 du 6 janvier 1978.

Cette loi de 1978 se borne, actuellement, à garantir la sécurité des traitements de données relatives aux infractions, condamnations et mesures de sûreté. Elle sera donc complétée par le RGPD (règlement général sur la protection des données) pour que soit organisé un dispositif propre à la protection des données pénales :
- droits des personnes concernées,
- obligations incombant aux autorités compétentes et aux responsables de traitements,
- transfert des données vers les pays tiers.

Le RGPD, à partir du 25 mai 2018, date de sa mise en application en France, créera immédiatement des droits au profit des particuliers et mettra également des obligations à leur charge. D'où la nécessité pour les entreprises et les associations, de mettre leurs traitements informatisés en conformité avec les nouvelles dispositions qui entreront en vigueur à la date butoir du 25 mai 2018. Comment être prêt dans les temps à observer la loi quand on en connait que les grandes lignes ?
Par exemple, si l'obligation faite aux responsables informatiques d'établir pour chaque traitement un journal des opérations de collecte et de modification ainsi qu'un droit de consultation et de communication, n'est pas amendée lors des débats parlementaires, qui sera prêt à temps ?
De plus, le RGPD ne va pas remplacer la loi de 1978, il va se rajouter au mille-feuilles juridique. Il faudra donc à l'avenir consulter simultanément la loi de 1978, dans sa nouvelle version, et le RGPD lui-même. Une combinaison d'autant plus délicate qu'il n'a pas été envisagé d'abroger toutes les dispositions nationales qui deviendront contraires au RGPD.

Dans sa délibération consultative du 30 novembre 2017, la Cnil a ainsi relevé, à juste titre, que "des dispositions formellement inchangées et toujours en vigueur de la loi de 1978 ne seront en réalité plus applicables, car substituées, dans leur champ, par les dispositions du règlement (par exemple sur le consentement, la base légale des traitements ou la portée des droits reconnus aux personnes), tandis que la loi nationale ne comportera aucun écho à certains nouveaux droits ou nouvelles obligations posées par le règlement".

Cela nous promet un grand chambardement informatique (site internet et communication numérique) à partir du mois de mai 2018.

En savoir plus
(1) Projet de loi relatif à la protection des données personnelles

(2) CNIL ( Commission nationale de l'informatique et des libertés) : Délibération n° 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n°78-17 du janvier 1978 (demande d'avis n°17023753)