II. LE PROJET DE LOI TRANSMIS : CONSERVER LA LOI FONDATRICE DE 1978 EN L'ADAPTANT AU RÈGLEMENT, TIRER PARTI DES MARGES DE MANoeUVRE ET TRANSPOSER LA DIRECTIVE

Le Gouvernement a fait le « choix symbolique » de conserver la loi Informatique et libertés en n'opérant que les modifications strictement indispensables à la mise en oeuvre du règlement et de la directive.

La réécriture d'ensemble de la loi du 6 janvier 1978 est renvoyée à une ordonnance ultérieure de « recodification » prise sur le fondement d'une habilitation (titre IV, article 20).

A. UNE MISE EN CONFORMITÉ DES DISPOSITIONS NATIONALES AVEC LE DROIT DE L'UNION (TITRE I)

1. L'adaptation et l'élargissement des missions de la CNIL et le renforcement de ses pouvoirs

Les dispositions relatives à la Commission nationale de l'informatique et des libertés (CNIL) sont mises en conformité avec le règlement par l'ajout de nouvelles missions et la mention de nouveaux outils de « droit souple » (agrément, certification) dont elle dispose dans une logique d'accompagnement des acteurs . À cet égard, à l'initiative de l'Assemblée nationale, l'accent a été mis sur les besoins spécifiques des TPE/PME et sur le rôle que peuvent jouer les médiateurs de la consommation dans la résolution des conflits liés aux problématiques de protection des données (article 1 er ). Conseil des pouvoirs publics, la CNIL pourrait, dans son domaine, être consultée sur certaines propositions de loi et présenter des observations devant toute juridiction (article 1 er bis ).

Les compétences des personnalités qualifiées désignées au sein de la CNIL par les présidents des deux assemblées parlementaires sont étendues (article 2) et son organisation administrative interne facilitée (article 2 bis ).

Les garanties d'impartialité des conditions de ses délibérations sont renforcées (article 3), ses pouvoirs de contrôle sont considérablement accrus (nature des locaux contrôlés, pouvoir de communication, opposition du secret professionnel, utilisation d'une identité d'emprunt) et pourraient s'exercer en coopération avec d'autres autorités de contrôle européennes, y compris en collaboration avec leurs agents sur le territoire national (article 4).

L'architecture des pouvoirs de sanction est revue pour permettre à l'autorité de prendre les mesures correctrices à l'encontre de responsables de traitement ne respectant pas leurs obligations, y compris en urgence, et en coopération avec d'autres autorités européennes. Le montant des amendes devient réellement dissuasif (10 ou 20 millions d'euros, ou, dans le cas d'une entreprise, de 2 % à 4 % du chiffre d'affaires annuel mondial - le montant le plus élevé étant retenu) et des astreintes pourraient être prononcées (articles 5 et 6).

2. La réaffirmation d'une interdiction relative de traitement des données dites « sensibles »

Le principe d'interdiction de tout traitement de données « sensibles » est réaffirmé et élargi : il est rendu applicable à tous les traitements portant sur ces données, qu'ils relèvent du droit de l'Union européenne ou du droit national, et étendu aux données génétiques et biométriques ainsi qu'aux données concernant l'orientation sexuelle d'une personne. Le champ des exceptions est lui aussi précisé (article 7).

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page