Les trois points à retenir du projet de loi sur la protection des données personnelles

La France se prépare à aligner son droit sur celui de l’Union européenne, en prévision de l’entrée en vigueur du Règlement général de protection des données personnelles (RGPD) le 25 mai prochain.

Ce futur RGPD repose sur le droit fondamental pour tout Européen à la protection de sa vie privée et de ses données personnelles. Point important : il sera applicable à l’ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors UE.

L’Assemblée nationale va donc examiner à partir de mardi, au niveau français, un projet de loi sur la question, texte qui fait globalement consensus auprès de tous les groupes politiques à la chambre basse, des Républicains aux communistes.

« Le développement de l’ère numérique oblige à repenser le cadre applicable aux données personnelles », a justifié celle qui défendra le texte dans l’hémicycle, la ministre de la Justice Nicole Belloubet. 20 Minutes résume les trois points à retenir de ce projet de loi sur la protection des données personnelles.

La majorité numérique à 15 ans

À quel âge un jeune peut-il s’inscrire sans autorisation parentale sur les réseaux sociaux ? 16 ans actuellement, selon le droit européen, avec une possibilité pour les Etats-membres d’abaisser cette autorisation à 13 ans (l’âge légal pour le moment en France).

Alors que le gouvernement avait maintenu ce seuil, les députés l’ont abaissé en commission, de manière consensuelle, à 15 ans, « âge où le mineur entre généralement au lycée et où sa maturité lui permet en principe de maîtriser les usages sur internet », selon la rapporteure Paula Forteza (LREM), ancienne d’Etalab, service de Matignon chargé de coordonner l’ouverture des données publiques.

Un nouveau système de contrôle plus souple pour les entreprises

Autre nouveauté, le texte remplace le système de contrôle a priori - avec des déclarations et des autorisations préalables - par un contrôle a posteriori. Les sociétés détentrices de données seront responsables des informations privées collectées, devront en envisager la protection et seront obligées de prévenir rapidement l’autorité compétente (en France, la Commission nationale informatique et libertés [Cnil]) en cas de perte, de vol ou de divulgation, sous peine d’amendes qui pourront aller jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros.

Début janvier, l’enseigne Darty a par exemple reçu une amende de la part de la Cnil de 100.000 euros pour ne pas avoir suffisamment sécurisé les données de ses clients. Si le projet de loi est adopté en l’état, les futures amendes prononcées par la Cnil seront potentiellement bien plus élevées.

« Il s’agit d’alléger les formalités préalables au profit d’une démarche de responsabilisation des acteurs et d’un renforcement des droits des individus. En contrepartie, les pouvoirs de la Cnil sont renforcés et les sanctions encourues considérablement augmentées », a résumé Nicole Belloubet. Certaines formalités préalables seront quand même maintenues pour les traitements des données les plus sensibles, comme « les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes ».

L’ouverture d’un droit à l’information en matière pénale

Autre possibilité offerte par ce texte s’il est adopté en l’état actuel des choses : un droit à l’information en matière pénale. Le projet de loi prévoit l’exercice direct de certains droits, tels que les droits d’accès, de rectification et d’effacement des données. Sont concernés le fichier national des empreintes génétiques, des interdits de stade, ou encore le traitement des antécédents judiciaires (TAJ).

Un amendement du groupe France insoumise à l’Assemblée a été adopté pour « assurer la proportionnalité de la durée de conservation », compte tenu « de l’objet du fichier, et de la nature ou de la gravité des infractions concernées ».

Le droit européen ne s’appliquera cependant pas à une dizaine de fichiers de « souveraineté », comme le fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), généralement gérés par les services de renseignement. Ceux-ci resteront soumis à un droit d’accès indirect, via le Conseil d’Etat, une procédure en vigueur depuis la loi sur le renseignement de 2015.

Enfin, dernière nouveauté éventuelle : les députés ont également introduit la possibilité d’une action de groupe pour la réparation de préjudices subis, d’ordre matériel ou moral, dans le cas d’un manquement à la protection des données personnelles de la part d’une entreprise.