A l’ère de l’open data, l’opacité française sur la mise en conformité de la loi Informatique et libertés avec le RGPD

A l’ère de l’open data, l’opacité française sur la mise en conformité de la loi Informatique et libertés avec le RGPD

A moins de 8 mois de l’entrée en application du Règlement Général européen de protection des données personnelles (RGPD), on peine à comprendre où en est la refonte de la loi Informatique & liberté en France et on s’interroge sur l’intérêt de l’opacité du processus… à contre-courant des initiatives menées dans les autres Etats membres.

Des nouvelles de la nouvelle loi Informatique et libertés ?

Depuis la publication du RGPD  le 27 avril 2016, les commentateurs concentrent leurs inquiétudes sur l’incapacité des entreprises à se mettre en conformité d’ici la date d’application fixée au 25 mai 2018. Celles-ci, selon eux, sous-estimeraient l’ampleur des modifications à effectuer et les conséquences potentielles des nouvelles dispositions sur leur offre de service. Mais à trop se concentrer sur les acteurs au bout de la chaîne, on en oublie les deux rouages essentiels du dispositif que sont le législateur et l’autorité protectrice des données de chaque Etat membre. En effet, quelque soit le niveau d’anticipation des entreprises ou organismes publics, les difficultés seront bien présentes le 25 mai 2018 en l’absence d’évolution d’une législation nationale devenue obsolète. La CNIL, notamment en la personne de sa Présidente, essaie depuis l’automne 2016 d’alerter les pouvoirs publics afin de réclamer un calendrier de mise en oeuvre des modifications législatives nécessaires. Cependant, à ce jour, aucune information ne filtre à ce sujet alors même que nos voisins semblent déjà bien avancés dans l’adaptation de leurs législations aux nouveaux enjeux. Ainsi, les représentants de la Commission européenne rencontrés à Bruxelles par les rapporteurs de la mission d’information parlementaire (cf infra) en janvier 2017 avaient indiqué, qu’à l’époque, qu’une dizaine d’États membres avaient déjà finalisé un projet de loi.

Du côté des autres Etats membres ?

Ainsi, l’Allemagne, s’est dotée le 12 mai dernier d’une nouvelle législation fédérale de protection des données personnelles (DSAnpUG-EU qui remplace la version actuelle : Bundesdatenschutzgesetz, BDSG). Elle doit maintenant être complétée par les dispositions de chaque Länder. Le niveau fédéral concerne la protection des données personnelles utilisées par les autorités fédérales et les entreprises privées, alors que les législations des Länder concernent l’utilisation des données personnelles par ceux-ci. Il faut noter que le processus d’élaboration de cette législation a été difficile puisque la première version, parue en septembre 2016 avait été fortement critiquée. Selon l’étude de Baker Mc Kenzie, dès mai 2017, en plus de l’Allemagne, on comptait déjà deux autres pays ayant finalisé leurs nouvelles lois en conformité avec le RGPD : les Pays-Bas et le Luxembourg. Depuis, d’autres pays ont progressé. Ainsi, de l’Espagne qui a émis en juin dernier une consultation publique pour adapter sa législation au RGPD. La Pologne, vient à la mi-septembre 2017 de publier un jeu de propositions de lois de mise en conformité avec le RGPD, qui représente plus de 175 pages de textes légaux et 145 pages d’explications. Les entreprises et organisations ont un mois pour soumettre leurs commentaires, propositions de modifications et opinions. Enfin, la Belgique vient de déposer un projet de loi créant l’Autorité pour la Protection des Données devant la chambre des représentants.

Et la France, dans tout ça ?

Même si le RGPD est un règlement européen, soit un texte d’application directe qui ne nécessite pas de mécanisme de transposition, il ne peut cependant coexister avec la loi Informatique et libertés (loi I&L) française sans que celle-ci ne soit amendée ou mieux remplacée. Il y a, en effet, trois catégories de modifications ou de remplacement à prévoir dans cette loi I&L :

  • L’ensemble des dispositions et des définitions du RGPD doit remplacer les anciennes dispositions françaises.
  • Le RGPD prévoit une cinquantaine de dispositions laissant une marge de manoeuvre d’adaptation aux Etats membres : il convient donc d’énoncer dans la nouvelle loi I&L les voies choisies par le législateur français pour chacune de ces dispositions.
  • Enfin, les dispositions ayant trait spécifiquement au rôle de la CNIL, maillon de la chaîne des autorités européennes de protection des données, doivent être révisées.

Cette refonte doit tenir compte de l’articulation de la loi I&L avec l’ensemble des autres dispositions législatives ou réglementaires qui y font référence, ce qui constitue un beau travail de recensement et de mise à jour.

On saisit donc bien l’urgence de s’atteler à la tâche de mise en conformité des textes légaux ; la CNIL ne s’y est pas trompée puisqu’elle explique depuis un an que l’ensemble du dispositif sera paralysé si les textes ne sont pas accordés avec le RGPD le 25 mai prochain. Connaissant l’inertie historique de la France à respecter les délais européens (pour rappel, la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 n’a été transposée que par la loi du 6 août 2004), on peut effectivement légitimement s’inquiéter. Suite à l’audition de Mme Falque-Pierrotin en 12 octobre 2016 à l’Assemblée nationale, il a cependant été jugé urgent, non pas d’obtenir un calendrier d’élaboration de la nouvelle loi I&L mais plutôt de créer un mission d’information parlementaire. Celle-ci avait pour mission d’étudier l’impact de la mise en place du RGPD sur la loi I&L et les autres dispositions législatives ou réglementaires concernant la protection des données personnelles. L’objectif était d’établir un diagnostic de l’écart existant et évaluer les travaux de mise en conformité nécessaires d’ici le 25 mai 2018. On peut s’interroger sur la pertinence de cette mission effectuée de décembre 2016 à février 2017. S’il s’agissait d’alerter sur l’urgence d’enclencher le rétro-calendrier permettant d’obtenir une loi à jour et des décrets publiés avant le 25 mai 2018, cette mission n’était guère nécessaire. S’il s’agissait d’expliquer le contexte et de sensibiliser les députés, on peut douter que le rapport de plus de 100 pages remis le 22 février 2017, soit la veille d’une fin de législature, ait été réellement lu. La mission étant construite dans l’urgence, les intervenants étant globalement les mêmes que celles auditionnées dans le cadre d’études précédentes abordant aussi le sujet de la protection des données personnelles (par exemple l’Etude annuelle 2014 du Conseil d’Etat – Le numérique et les droits fondamentaux ou Commission Numérique et Libertés de juin 2015), on peut aussi se questionner sur la pertinence du travail effectué et la valeur de son apport. Lors des auditions, on constate que les représentants de la Chancellerie auditionnés assurent que tout est sous contrôle et que le texte de toilettage de la loi I&L devrait être prêt en mai 2017 pour le présenter au nouveau gouvernement (les vidéos sont consultables sur le site de l’Assemblée nationale pendant un an). Par ailleurs, l’article 65§III de la Loi pour une République numérique (LRN) prévoit que le Gouvernement remette au Parlement, au plus tard le 30 juin 2017, un rapport sur les modifications de la loi de 1978 rendues nécessaires par l’entrée en vigueur du RGPD. Dans leur rapport de mission parlementaire, les rapporteurs ont donc émis le “souhait” que la transmission de ce rapport et le dépôt du projet de loi révisant la loi du 6 janvier 1978 soient concomitants.

Alors, 6 mois après la publication de ce rapport, où en est-on ?

Alors que la CNIL procède à des consultations publiques régulières sur des thématiques précises (la dernière en date concerne les transferts internationaux et la transparence) pour alimenter les travaux du G29 (groupe des Autorités de protection des données européennes) et que la LRN avait innové avec son expérience de plate-forme participative pour sa conception, l’opacité la plus complète règne sur la refonte de la loi I&L. Que ce soit sur le site de la Chancellerie, l’Assemblée, la CNIL, aucune information n’est disponible sur le calendrier de mise à disposition du projet de loi, des décrets, sur la manière dont l’intégration du RGPD s’effectue, laissant présager des difficultés à tenir l’échéance du 25 mai 2018. Si par bonheur, les délais étaient tenus, il est indéniable qu’il en résultera un manque de temps de préparation pour les professionnels directement concernés par les dispositions nationales relevant de la marge de manoeuvre des Etats membres ou tout simplement de la CNIL. Par ailleurs, il convient de se rappeler que si des marges de manoeuvre sont laissées aux Etats membres sous la forme de dispositions qui relèvent de choix nationaux, il serait très pertinent de prévoir celles-ci en concertation avec les autres Etats membres, afin d’éviter le phénomène de “forum shopping”. Ainsi, par exemple, l’article 35 prévoit le mécanisme d’analyse d’impacts et liste les cas où celle-ci sera nécessaire. Cette liste pourra cependant être complétée par les Etats (Art 35 §4). Si la France ne concerte pas avec les autres Etats sur la liste des analyses d’impact supplémentaires, elle risque d’être en décalage et de nuire à son attractivité économique.

Au-delà de l’incapacité pratique d’opérer pour la CNIL en cas de retard français, il faut souligner que celui-ci entraînerait aussi des conséquences négatives pour nos voisins puisque les mécanismes de coopération entre les différentes autorités de contrôle européennes nécessitent une finalisation aboutie dans tous les Etats membres. En effet, si un problème de protection des données relatif à une entreprise dont l’établissement principal est en France, est soulevé, la CNIL sera désignée autorité chef de file sur ce dossier et devra coordonner les actions avec les autres autorités européennes concernées alors même que le demandeur sera peut-être situé dans un autre pays (Art. 60 Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées ;  Art. 61 Assistance mutuelle).

Alors, à l’ère de la transparence des données publiques, et à moins de 8 mois de l’échéance du 25 mai 2018, concrètement où en est-on des travaux de mise en conformité des dispositions législatives françaises concernant la protection des données personnelles ?

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *