Projet de loi numérique : les évolutions attendues de la loi Informatique et libertés

Le futur texte consacré au numérique, qui pourrait être présenté d’ici l’été, comprendra notamment un renforcement de la protection de la vie privée et donc une révision de la loi Informatique et Libertés du 06 janvier 1978 modifiée. En vue de l’élaboration du projet, la Commission nationale Informatique et libertés (Cnil) a avancé ses propositions qui concernent les principaux acteurs de l’écosystème « Informatique et libertés », c’est-à-dire les personnes concernées par les traitements (citoyens et consommateurs), les responsables de traitements (entreprises et pouvoirs publics) et l’autorité administrative de contrôle (la Cnil).

Ces préconisations s’inscrivent dans le cadre du futur règlement européen sur la protection de la vie privée, dont l’adoption est attendue pour la fin de cette année. Elles concernent notamment le renforcement des droits des personnes, la simplification des formalités préalables à la mise en œuvre de certains traitements et le renforcement des pouvoirs des autorités de contrôle.

Renforcement et effectivite ? des droits pour les personnes

En matière de protection des données personnelles, la Cnil propose de modifier l’article 39 de loi Informatique et Libertés pour donner aux personnes un acce ?s aux informations relatives à l’origine de la collecte et la dure ?e de conservation de leurs donne ?es, sur demande effectue ?e par voie e ?lectronique, aupre ?s du responsable de traitement. Elle préconise également de renforcer l’e-réputation des mineurs en introduisant dans la loi, le droit d’obtenir l’effacement des données relatives à des mineurs, sans devoir invoquer un motif légitime, comme prévu actuellement. Autrement dit, une sorte de « droit à l’oubli », pour les mineurs, grands utilisateurs des réseaux sociaux.

Transferts de données hors UE : simplification des formalite ?s

Côté entreprises, l’organisme plaide pour une simplification des formalités préalables en cas de transfert des données hors de l’Union européennes. En 2013, la Cnil a traité quelque
1 500 demandes d’autorisation de transferts de données hors UE. Afin d’alléger ce formalisme tout en garantissant un niveau de protection équivalent, la Commission propose d’accorder aux entreprises qui ont conclu des « BCR » (binding corporate rules ou re ?gles d’entreprise contraignantes) une autorisation unique qui couvrirait leurs transferts.

Adaptation des missions de la Cnil

Lorsqu’un traitement de données est mis en œuvre ille ?galement ou porte une atteinte grave a ? la vie prive ?e, il est possible, estime la Cnil, d’améliorer la procédure actuelle en lui donnant la possibilité de prononcer une suspension du traitement pendant le temps de la procédure de mise en demeure.

Il est également envisagé d’acce ?le ?rer le de ?clenchement d’une proce ?dure de sanction pe ?cuniaire. En effet, actuellement, lorsque la situation est particulie ?rement urgente ou que le manquement ne peut plus être corrigé, comme par exemple une faille de se ?curite ? ponctuelle, le pre ?sident de la Cnil peut de ?cider de saisir directement la formation restreinte (formation contentieuse de la Cnil) sans mise en demeure pre ?alable du responsable du traitement en cause. Toutefois, dans ce cas de figure, la formation restreinte ne peut prononcer qu’un avertissement, le cas e ?che ?ant rendu public. La Commission souhaite donc que son pre ?sident puisse, dans ces situations, de ?signer directement, sans mise en demeure pre ?alable, un rapporteur aux fins de proposer a ? la formation restreinte le prononce ? d’une sanction pe ?cuniaire, le cas e ?che ?ant publique, notamment, lorsque le manquement constate ? n’appelle plus, a ? la date de la de ?cision, de mesure de correction.

Enfin, la Cnil propose une forte augmentation de son pouvoir de sanctions financières en se basant sur la version actuelle du projet de règlement européen qui résulte du compromis adopté par le Parlement européen, à savoir : 5% du chiffre d’affaires mondial dans la limite d’un milliard d’euros. Aujourd’hui le montant maximal des sanctions est fixé à 150 000 euros.

Le projet de loi numérique, permettra certainement d’anticiper, au niveau national, certaines évolutions du futur règlement européen. Il devrait aussi transposer en droit interne la notion de coresponsabilite ? (coresponsable de traitement) de la directive du 24 octobre 1995, ce qui pourrait mettre fin aux difficultés quant à la détermination du responsable de traitement et des sous-traitants. La conse ?cration de ce statut de coresponsabilite ? permettrait ainsi de mieux refle ?ter la re ?alite ? de l’implication des diffe ?rents acteurs dans la mise en œuvre d’un traitement.