Le tant attendu (ou redouté) nouveau règlement européen sur la protection des données personnelles (RGPD) est enfin entré en application ce 25 mai. Ce jour devait aussi marquer l'avènement de la nouvelle loi « informatique et libertés » censée compléter notre droit national en conséquence. Si la France était bien partie pour être prête à temps, les divergences entre les sénateurs et les membres de l'Assemblée Nationale ont donné lieu à un renvoi de la loi devant le Conseil constitutionnel une dizaine de jours avant l'échéance, faisant ainsi obstacle à sa promulgation dans les délais.

Loin d’être inédite en Europe, cette situation soulève donc la question des règles applicables alors que coexistent différentes règles, ancienne et nouvelle générations. Quelle approche les entreprises doivent elles avoir en attendant la promulgation de la nouvelle loi « informatique et personnelles » ? Peuvent-elles considérer que la loi d'application locale n'étant pas promulguée, elles doivent attendre ?

Il faut se conformer au RGPD avant tout

La réponse est claire : le RGPD étant d'application directe, il s'applique indépendamment de l'adoption de la loi nationale venant le compléter et qui s'appliquera en même temps . Toutefois, en cas de contradiction, le RGPD devrait prévaloir dès lors qu’il s’agit d’une norme de valeur supérieure. Et il est peu probable que la CNIL sanctionne une entreprise qui choisit de se conformer au RGPD.

Les principes et la logique qui sous-tendent le RGPD et la loi française étant très proches, le risque de contradiction entre les deux textes devrait être assez limité. Evidemment, certains aspects de la loi « informatique et libertés » nécessitent d’être adaptés, voire supprimés, afin d’être parfaitement en ligne avec le RGPD, mais il n’existe pas de contradiction fondamentale.

D’un point de vue pratique, quelques incertitudes demeurent néanmoins. On peut citer à cet égard l'exemple des formalités préalables et des sanctions.

Les formalités préalables ont bel et bien disparu (ou presque)

Le RGPD marque la fin des formalités préalables (à quelques exceptions près, notamment dans le secteur de la santé et certaines demandes d’avis). Mais tant que la nouvelle loi n’est pas promulguée, ces formalités restent en principe obligatoires en France. En pratique, toutefois, la CNIL a d’ores et déjà indiqué que « dans l’attente de la promulgation de la loi relative à la protection des données personnelles, et sous réserve de la décision du Conseil constitutionnel à venir, la CNIL ne traitera plus les autres demandes d’autorisation prévues par l'article 25 de la loi informatique et libertés en vigueur avant le 25 mai 2018 » et a mis à jour son site Internet en conséquence, rendant désormais impossible de faire une quelconque déclaration en ligne.

L’action de la CNIL sera plus difficile, mais les contrôles ne seront pas suspendus : la mise en conformité au RGPD doit continuer

S’agissant des sanctions, la CNIL se trouvera vraisemblablement dans une position difficile en attendant la promulgation de la loi, puisqu’elle ne sera pas correctement équipée pour faire appliquer le RGPD en toutes ses dispositions et coopérer avec ses homologues européens en cas de procédure relative aux traitements transfrontaliers. Cela ne doit pas empêcher les entreprises de rester vigilantes et poursuivre leurs efforts de mise en conformité puisque la CNIL a d’ores et déjà indiqué que les principes fondamentaux de la protection des données, qui restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.), continueront à faire l’objet de vérifications rigoureuses par la CNIL. A l’inverse, la CNIL adoptera davantage une démarche d’accompagnement des organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes, s’agissant des nouveaux droits et obligations résultant du RGPD (droit à la portabilité, analyses d’impact, protection des données par défaut et protection des données dès la conception, etc.).

On note toutefois que l’European Center for Digital Rights (connu sous le nom de nyob pour “none or your business”), fondé par Max Schrems, et l’association française la Quadrature du Net n'ont pas attendu pour déposer, immédiatement après l’entrée en application du RGPD, des plaintes à l’encontre de plusieurs acteurs de l'Internet (dont Facebook, Google, WhatsApp, etc.) devant différentes autorités de contrôle européennes, y compris la CNIL, pour violation du RGPD. Il sera intéressant de voir comment les autorités de contrôle concernées traiteront pour la première fois ces actions de groupe et d’éprouver le mécanisme de contrôle de cohérence prévu par le RGPD.

En définitive, les conséquences du retard de la France semblent plutôt limitées.

Plusieurs scénarios sont envisageables pour la suite

On le sait, les désaccords entre les sénateurs et les députés ont été nombreux pendant les débats parlementaires au sujet de la nouvelle loi « informatique et libertés ». Difficile de déterminer avec précision la portée de la saisine du Conseil constitutionnel, ce d’autant que celle-ci ne devrait être rendue publique qu’en même temps que la décision du Conseil constitutionnel.

Quoi qu’il en soit, trois différents scenario sont possibles à l'issue de l'examen par le Conseil constitutionnel :

  • le Conseil déclare la loi constitutionnelle et celle-ci est promulguée telle quelle ;
  • il déclare la loi inconstitutionnelle dans son intégralité et la loi n'est pas promulguée (ce qui à notre sens devrait être improbable) ; ou
  • ce dernier décide que seules certaines dispositions sont inconstitutionnelles, auquel cas la loi est promulguée sans les dispositions concernées.

Ce qu’il faut retenir de la nouvelle loi, si elle était promulguée en l’état

En l’état, les principales adaptations de la législation française par rapport au RGPD sont les suivantes (outre les dispositions renforçant considérablement les pouvoirs de la CNIL) :

Portée territoriale. Les règles françaises adoptées sur la base du RGPD s'appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable du traitement n'est pas établi en France (à l'exception des traitements effectués à des fins journalistiques ou à des fins d'expression académique, artistique ou littéraire). Ainsi, si une entreprise allemande cible des clients français, elle devra se conformer non seulement aux exigences du RGPD, mais aussi aux règles spécifiques françaises (et probablement aussi aux règles spécifiques allemandes). Il en va de même s'il s'agit d'une entreprise asiatique ou américaine. Toutefois, si un journal allemand traite les données personnelles d'un résident français à des fins journalistiques, le droit français ne s'appliquera pas et le journal devra alors se conformer aux exigences du RGPD et de la loi allemande uniquement.

Traitement du numéro de sécurité sociale. Un décret déterminera les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles le NIR peut être traité. Toutefois, par dérogation, les traitements préalablement autorisés par la CNIL ne sont pas soumis à l’obligation d’être mentionnés dans le décret et pourront se poursuivre jusqu'au 25 mai 2020 (à condition qu'ils ne soient pas modifiés).

Formalités préalables. Comme indiqué plus haut, les formalités préalables auprès de la CNIL disparaissent, à quelques exceptions près (notamment en ce qui concerne le traitement des données relatives à la santé qui continueront à faire l'objet soit d'une déclaration de conformité à des exigences spécifiques définies par la CNIL, soit d'une autorisation de la CNIL), et sont remplacées par un contrôle a posteriori.

Traitement des données relatives aux condamnations pénales et infractions. La loi indique expressément que les personnes physiques ou morales peuvent traiter ces catégories de données aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités.

Consentement des mineurs. Les mineurs d’au moins 15 ans peuvent consentir seuls au traitement de leurs données personnelles dans le cadre de l'offre directe de services en ligne. En dessous, le traitement n'est licite que si le consentement est donné conjointement par le mineur et le(s) titulaire(s) de l’autorité parentale. Il faut toutefois garder à l'esprit que cela n'affecte pas les règles générales concernant la capacité pour la conclusion d'un contrat. Ainsi, par exemple, il peut être nécessaire d'obtenir le consentement des parents pour qu'un enfant mineur puisse s’inscrire sur certaines applications ou sites Internet, même s'il a plus de 15 ans.

Par ailleurs, des dispositions spécifiques permettent aux mineurs âgés de quinze ans ou plus et dont les données sont traitées dans le cadre de recherches, d’études et ou d'évaluations dans le domaine de la santé, de s'opposer à ce que les titulaires de l’autorité parentale aient accès aux données le concernant recueillies dans le cadre de ces recherches, études et évaluations.

Validité du consentement et contrats. La loi prévoit l'obligation, pour les responsables de traitement, de démontrer que les contrats qu'ils concluent ne font pas obstacle au consentement des utilisateurs finaux et à leur liberté d'accéder aux applications et services de leur choix sur leurs dispositifs électroniques. Par exemple, les fabricants de dispositifs électroniques ne devraient pas conclure des contrats les obligeant à offrir aux utilisateurs finaux certains services installés par défaut sur les dispositifs, sans autre alternative, et à collecter des données personnelles pour les monétiser. Cette disposition est une application des principes du respect de la vie privée dès la conception et par défaut et de l'exigence selon laquelle les responsables de traitement doivent être en mesure de démontrer le consentement des personnes concernées lorsque le traitement est fondé sur le consentement.

La loi fournit en outre quelques exemples de ce qui constituerait un obstacle à un consentement valide (par exemple, le fait de restreindre, sans motif légitime d’ordre technique ou de sécurité, les choix de l'utilisateur final, notamment lors du réglage initial du terminal).

Transparence. L'obligation de fournir une notice d’information courte lorsque des données à caractère personnel sont collectées au moyen d'un formulaire est maintenue dans la loi française, alors que le RGPD ne prévoit pas d’exigence similaire.

De la même manière, les informations concernant les transferts de données en dehors de l’UE restent pour le moment inchangées en France et vont par conséquent au-delà de ce qui est requis dans le RGPD (pays exacts où les transferts sont effectués, finalités des transferts, catégories de données transférées etc.).

Limitations des droits des personnes concernées dans certaines circonstances. Les droits des personnes concernées peuvent être limités, notamment pour éviter d'entraver les enquêtes ou procédures administratives, pour garantir la prévention, la recherche, la détection et la poursuite d'infractions pénales, ou pour protéger les droits et libertés d'autrui.

Notification d’une violation de données à caractère personnel. Un décret limitera l'obligation de notification de l'article 34 du RGPD lorsqu’une telle notification est susceptible de présenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique. Cette dérogation ne sera applicable qu’aux seuls traitements nécessaires au respect d'une obligation légale ou à l’exercice d’une mission d’intérêt public dont est investi le responsable de traitement.

Action de groupe. Désormais, les actions de groupe pourront être exercées aussi bien en vue de faire cesser le manquement à la règlementation sur la protection des données personnelles, que pour engager la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis. Toutefois, la loi pose une limite et la responsabilité de la personne ayant causé le dommage ne pourra être engagée que si le fait générateur du dommage est postérieur au 24 mai 2018.

Enfin, la loi contient également des dispositions spécifiques relatives au traitement des données relatives à la santé et à la transposition en droit français de la directive européenne sur la protection des données relatives à la coopération policière et pénale.

La décision du Conseil constitutionnel devrait intervenir avant la fin du mois de juin et permettra enfin de connaître avec certitude les nouvelles règles applicables en France en matière de protection des données personnelles.