PROJET DE LOI SUR LA PROTECTION DES DONNÉES PERSONNELLES page 2

Tout afficher

Edité le 28/05/2018

Le projet de loi sur la protection des données personnelles, qui organise la mise en œuvre du RGPD sur le territoire français, prévoit d'habiliter le gouvernement à effectuer un travail de réécriture de la loi Informatique et libertés.

 

Le projet de loi supprimer la plupart des formalités préalables à la mise en place d'un traitement automatisé de données personnelles, notamment les déclarations préalables ou les demandes d'autorisation effectuées par les employeurs auprès de la Cnil (Commission nationale de l'informatique et des libertés).

En vertu du RGPD, les responsables de traitement devront mener une analyse d'impact afin de mesurer le risque en matière de protection des données et, le cas échéant, consulter la Cnil lorsque le traitement présente un risque élevé (si le responsable du traitement ne prend pas de mesures pour atténuer le risque).

Par ailleurs, le principe d'interdiction des traitements de données sensibles (origine, opinions politiques, appartenance syndicale…) est maintenu tout en l'élargissant aux données biométriques, génétiques ou relatives à l'orientation sexuelle, sauf exceptions.

 

Ensuite, le projet de loi étend le champ des demandes pouvant faire l'objet d'une action de groupe en matière de protection des données personnelles et ce, pour faire cesser le manquement du responsable de traitement, mais aussi pour engager sa responsabilité et obtenir réparation des préjudices matériels et moraux subis par les personnes concernées.

Cette action pourra être introduite par une association ou un syndicat en cas de manquement à la loi ou au RGPD, mais seulement si le fait générateur du dommage est postérieur au 24 mai 2018.

 

Le rôle de la Cnil est par ailleurs redéfini. La Commission devient l'autorité de contrôle nationale pour l'application du RGPD. Elle établit et publie les lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité et l'évaluation préalable des risques par les responsables de traitement et des sous-traitants.

Elle devient aussi un organe de certification des personnes, produits, systèmes ou procédures afin de reconnaître leur conformité avec le RGPD et le droit national.

Elle a également un rôle consultatif auprès du Parlement sur les propositions de loi relatives à la protection ou au traitement des données personnelles. Elle pourra présenter des observations devant toute juridiction à l'occasion de litiges relatifs à l'application du RGPD et de la loi Informatique et libertés.

En outre, le président de la Cnil peut avertir un responsable de traitement ou son sous-traitant de manière préventive, en lui indiquant que les opérations de traitement qu'il envisage sont susceptibles de violer le RGPD.

En cas de manquement constaté, le président de la Cnil peut, lorsqu'une mise en conformité est possible, mettre en demeure le responsable de prendre les mesures correctives nécessaires dans un délai précis.

Si le manquement perdure, la formation restreinte de la Cnil est saisie. Les sanctions disponibles sont plus importantes. La Cnil peut notamment assortir une injonction de mise en conformité d'une astreinte allant jusqu'à 100 000€ par jour.

Elle peut aussi rappeler à l'ordre, limiter le traitement, retirer une certification ou prononcer une sanction pécuniaire. Ces dernières ne sont plus limitées à 3 millions d'euros. Pour certains manquements, l'amende administrative prononcée pourra atteindre 10 millions d'euros ou, pour une entreprise, 2% du chiffre d'affaire annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

 

Enfin, la Cnil a davantage de pouvoirs d'intervention. Ses agents peuvent notamment réaliser des contrôles sur place dans tous locaux servant à la mise en œuvre d'un traitement de données à caractère personnel, y compris s'ils ne sont pas affectés à un usage professionnel.

Le secret ne pourra pas être opposé aux agents de la Cnil, sauf dans le cadre du secret professionnel (avocats, journalistes et médecins).