Loi pour une République numérique ou RGPD, il faut choisir

Loi pour une République numérique ou RGPD, il faut choisir

La Loi pour une République numérique (LRN) vient d’être publiée le 8 octobre 2016 au Journal Officiel. Elle vise à favoriser l’ouverture et la circulation des données et du savoir, à garantir un environnement numérique ouvert et respectueux de la vie privée des internautes et à faciliter l’accès des citoyens au numérique. Toute perfectible qu’elle soit, il paraît toujours préférable d’avancer par étapes que de s’enliser en voulant ériger des cathédrales législatives. Certes, cette loi a pu décevoir ou frustrer car l’exercice de la collaboration participative publique laisse forcément naître des attentes qui ne pourront être prises en compte. Elle a cependant le mérite d’avoir provoqué des débats et tenté de formaliser une première approche dans différents domaines résultant des évolutions technologiques, domaines que le législateur français avait peu abordés jusque-là.

Quid du RGPD ?

Cependant, au-delà de son caractère de loi « fourre-tout » qui lui a été reproché, c’est son impact sur la mise en conformité de la législation française au nouveau Règlement Général européen de Protection des Données personnelles (RGPD), paru au journal officiel de l’Union Européenne le 4 mai 2016, qui suscite des inquiétudes. D’abord parce que la LRN contient certaines dispositions qui sont directement inspirées du RGPD et qu’on peut se demander l’intérêt de démanteler le Règlement au lieu d’avoir une démarche globale pour l’intégrer dans la pyramide des normes françaises. D’autre part, parce qu’en dépit de l’urgence à se saisir du dossier RGPD, on ne sait pas quand, comment et qui va s’en charger.  On ne peut, d’ailleurs, qu’être inquiet de constater que la LRN a prévu un rapport sur ce sujet d’ici le 30 juin 2017 : article 65§III de la LRN : « Le Gouvernement remet au Parlement, avant le 30 juin 2017, un rapport sur les modifications à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés rendues nécessaires par l’entrée en vigueur du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. »

Clairement, la préoccupation actuelle du Secrétariat d’Etat en charge du Numérique et de l’Innovation, ce n’est pas le RGPD mais la mise en œuvre de la LRN. Depuis la publication de celle-ci, il n’est question que de la course aux décrets pour que la majorité d’entre eux soit publiée avant l’échéance présidentielle. En effet, sur plus de cent articles, au moins une trentaine doivent être complétés par la voie réglementaire. Autant dire, un sacré challenge en moins de six mois, ce qui réduit encore plus le temps consacré à la réflexion sur la refonte de la loi Informatique et Libertés (I&L), nécessaire conséquence du RGPD. Certes, ce n’est sans doute pas ce seul Secrétariat qui sera en charge de ce dossier mais repousser cette réflexion après l’élection présidentielle, c’est risquer d’accumuler des retards importants en cas de changement de gouvernement. Or le RGPD n’est pas nouveau, il a été discuté pendant plus de 4 ans au niveau européen et a été publié au printemps dernier. Il aurait été judicieux d’anticiper au maximum son intégration dans le paysage juridique français, et ce d’autant plus qu’il emporte des interactions avec les autres autorités de contrôle européennes et qu’un retard français sera très visible. Il n’est pas question de renouveler l’exploit précédent concernant les délais de transposition de la directive européenne 95/46/CE de protection des données personnelles de 1995 : il avait fallu attendre 2004 pour que la loi I&L soit modifiée pour intégrer les dispositions de la directive !

Comment intégrer efficacement le RGPD dans les normes françaises ?

Il est important de souligner que le RGPD est un règlement européen et non une directive. Autrement dit, là où la directive de 1995 devait être transposée dans les lois nationales de chaque Etat membre, le RGPD a une portée générale, est obligatoire dans tous ses éléments, et il est directement applicable dans tous les Etats membres le 25 mai 2018, c’est-à-dire demain.

Dans ce contexte de délais serrés, il serait judicieux de réfléchir à tous les moyens possibles de se mettre en conformité le plus rapidement possible avec le RGPD. Par exemple, il faudrait se résoudre à remercier pour bons et loyaux services notre belle loi I&L, pour le rôle fondamental qu’elle a joué dans notre pays, et célébrer l’avènement de son successeur, jeune et mieux aguerri pour la défense des données personnelles au 21ème siècle et s’inscrivant dans une dynamique d’harmonisation européenne. Ainsi, plutôt que de passer du temps à essayer de préserver le corps moribond de la loi I&L en lui injectant les cellules neuves du RGPD, et risquer ainsi d’introduire des biais de compréhension entre la formulation initiale du RGPD et sa formulation française, réinterprétée à la lumière du carcan de la loi I&L, une approche alternative logique et efficace pourrait être de :

  1. Annuler la loi I&L actuelle en la remplaçant par un nouveau texte reprenant exactement le texte du Règlement européen.
  2. Compléter le texte par des dispositions nationales à chaque fois que le RGPD a donné la liberté aux Etats-membres de le faire.
  3. Vérifier si des dispositions de l’ancienne loi I&L sont absentes du texte obtenu, analyser si elles sont toujours pertinentes au regard de l’ensemble des nouvelles dispositions et si elles peuvent être réintroduites par le biais des points de liberté nationaux prévus dans le RGPD.

Cette méthode permettrait de concentrer la réflexion sur les points de latitude laissés aux Etats par le Règlement et de veiller à établir une transition avec la philosophie de la loi I&L. On pense ainsi à la possibilité de prévoir d’autres cas obligatoires de DPO (art. 37§4), au fait d’interdire le traitement de certaines données sensibles même si le consentement de la personne est donnée (art. 9§2a) ou à la possibilité pour les Etats-membres d’introduire d’autres conditions supplémentaires, y compris des limitations, pour le traitement des données sensibles en génétique, biométrie ou santé (art.9§4).  On note d’ailleurs que, pour certaines marges de manœuvre nationales, le RGPD précise que ce sont les autorités de contrôle (les CNIL nationales) qui seront en charge des détails de mise en oeuvre. C’est le cas par exemple de la liste des traitements soumis à l’analyse d’impact relative à la protection des données  (art. 35§4). Or en vertu de l’article 35§6 et de l’article 63, un devoir de cohérence est attendu de ces autorités de contrôle européennes afin d’éviter que les décisions nationales soient contradictoires ou déphasées. Ainsi un pays ne pourra sans doute pas prévoir de liste a minima qui le rendrait particulièrement attractif pour les entreprises désireuses de s’abstenir de ces analyses. Afin d’arriver rapidement à une cohérence sur ce sujet, le Groupe de travail de l’article 29 (composé de représentants des autorités nationales chargées de la protection des données, du CEPD et de la Commission européenne) a d’ores et déjà lancé une concertation sur ce sujet et prévoit de fournir cette liste d’ici 2017. On voit donc que la marge de manœuvre des Etats sera sans doute faible même sur les points que le RGPD sembler laisser aux initiatives nationales.

Même en procédant par voie d’ordonnance, on se rend compte que l’intégration du RGPD dans le paysage législatif français représente un travail important. C’est pourquoi, la promulgation de la LRN n’est pas une bonne nouvelle pour le volet Protection des données personnelles, d’une part parce qu’elle va mobiliser une énergie importante pour l’élaboration de ses décrets d’application et, d’autre part, parce qu’elle crée une confusion inutile en intégrant de manière parcellaire et inefficace certaines dispositions du Règlement.

Les incohérences de la LRN dans l’implémentation du RGPD

La LRN rend le projet de mise en œuvre du RGPD confus puisqu’elle intègre certains de ses éléments (sans qu’on comprenne bien pourquoi il y a eu sélection) en les disséminant dans différents textes juridiques au lieu de concentrer les modifications ou les ajouts dans la loi Informatique et Libertés.

Ainsi, parmi différentes retouches cosmétiques, deux points majeurs sont, d’ores et déjà, intégrés à la loi I&L :

  • Le droit à l’oubli numérique, restreint aux mineurs, est ajouté à l’article 40. Il est complété par un nouvel article 40-1 concernant la vie numérique après la mort. Comme il a été développé dans un précédent article de ce blog, le droit à l’oubli a été formalisé à l’article 17 dans le RGPD, il concerne toutes les personnes et prévoit un mécanisme complet. Le fait de le restreindre aux mineurs apporte de la confusion. Pourquoi ne pas s’être aligné directement sur cette nouvelle obligation complète ?
  • L’augmentation du montant des sanctions dont peut user la CNIL. La LRN prévoit à son article 65§1 la mise à jour de l’article 47 de la loi Informatique et Libertés : « Le montant de la sanction ne peut excéder 3 millions d’euros. » A l’article 65§2, elle prévoit que ce montant sera aligné sur celui fixé par le RGPD lors de son entrée en vigueur, soit le 25 mai 2018. On peut se demander de nouveau pourquoi avoir prévu une disposition temporaire qui devra être révisé à peine parue. De plus, était-il vraiment nécessaire de prévoir une nouvelle exception en dérogeant aux montants maximums du RGPD pour les autres données ? : « En dehors de ce champ, l’article 47 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction résultant du présent article, est applicable. » Donc, sur un concept européen pourtant simple (un montant maximum de pénalités), le législateur français réussit à complexifier en instaurant un montant différent de manière temporaire et en prévoyant des exceptions à la règle future.

A ce stade du constat, on peut déjà s’agacer que le RGPD ait été repris de manière partielle et discrétionnaire dans la LRN et qu’il ne soit cité que de manière incidente au fil des articles, sans qu’il n’ait été mis en évidence comme document de référence majeur, notamment dans les textes de présentation de la loi. Mais c’est une nouvelle déception qui nous attend quand on constate que le RGPD a été démantelé en différentes dispositions disséminées dans plusieurs lois.

Il en est notamment ainsi du nouveau droit à la portabilité des données, défini à l’article 20 du RGPD. Comme il a été visiblement jugé urgent de le prévoir dans la LRN à l’article 48 pour les données à caractère personnel et pour les autres données, le choix a été fait de ne pas mentionner ce droit dans la loi I&L modifiée, mais uniquement dans le livre II du code de la consommation. Certes, l’introduire dans la loi I&L aurait nécessité de revoir l’organisation et la numérotation des paragraphes de la loi…. L’urgence de prévoir ce nouveau droit dans la loi LRN est discutable puisque cette disposition n’entrera en vigueur que le 25 mai 2018 (art.48§2), soit en même temps que le RGPD. Au-delà de ce constat, le fait de ne pas reproduire exactement le texte de l’article 20 et du considérant 68 du RGPD portera inévitablement à confusion en créant des biais de compréhension entre les deux textes.

Alors, si c’est ainsi qu’il est prévu de revoir la loi  Informatique et Libertés, en faisant partiellement référence au texte du RGPD ou en démantelant certaines de ces dispositions entre plusieurs textes juridiques, on ne peut qu’être inquiet des retards inévitables qui seront pris dans la mise en œuvre et des difficultés d’interprétation qui en résulteront. Plutôt que de perdre du temps sur une course aux décrets de la LRN, c’est donc une véritable course de fond qui devrait être démarrée en urgence sur le RGPD en espérant franchir la ligne d’arrivée le 25 mai 2018 avec un texte clair, homogène et unique.

 

Tous les articles de ce blog sont la propriété exclusive de son auteur. Toute reproduction (hormis une brève citation en précisant la source et l’auteur) sans l’autorisation expresse de l’auteur est interdite.

 

Une réaction au sujet de « Loi pour une République numérique ou RGPD, il faut choisir »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *