Données personnelles: la France s’apprête à devenir compatible RGPD

Philippe Guerrier,
rgpd-transposition-france

Le gouvernement engage la transposition du nouveau cadre européen sur la protection des données persos, qui sera en vigueur à partir de mai 2018.

La semaine dernière, le ministère de la Justice a présenté le projet de loi relatif à la protection des données personnelles. Il s’agit en fait d’une transposition du nouveau cadre juridique européen* autour du Règlement général sur la protection des données (RGPD), qui entrera en vigueur en mai 2018.

Le principal objectif est de créer un « cadre unifié et protecteur pour les données personnelles des Européens » qui concerne les particuliers et les entreprises. Il propose également de nouveaux droits pour les citoyens, comme un droit à la portabilité des données personnelles.

Des changements d’approches fondamentales apparaissent, comme le remplacement d’un système de contrôle a priori (basé sur les régimes de déclaration et d’autorisation préalables) par un système de contrôle a posteriori, censé responsabiliser les acteurs qui abordent l’exploitation de données personnelles.

En coordination avec les instances homologues dans les autres pays de l’UE, la CNIL bénéficiera de prérogatives de sanctions plus importantes.

L’autorité nationale en charge de la protection des données personnelles sera en mesure d’infliger des amendes pouvant atteindre 20 millions d’euros (ou 4 % du chiffre d’affaires annuel mondial consolidé). Ce qui devrait davantage attirer l’attention de multinationales du numérique comme Facebook ou Google, avides de data.

Dans la présentation de son projet de loi, le gouvernement inclut également une nouvelle mesure de protection des mineurs vis-à-vis de l’usage des réseaux sociaux.

Pour les moins de 16 ans, le consentement des titulaires de l’autorité parentale sera nécessaire pour une inscription sur un Snapchat, un Instagram ou un Facebook.

CNIL : la France en retard

Auparavant, la Commission nationale Informatique et Libertés a publié son avis sur ce projet de loi (en date du 30 novembre 2017).

L’autorité gardienne des données personnelles évoque une « avancée majeure » avec cette orientation au niveau de la loi en Europe et cette transposition en France.

Même si elle « regrette le retard pris dans la préparation de ce projet de loi » et appelle à une application rapide pour être en phase avec l’application du nouveau cadre européen à partir du 25 mai.

Elle émet aussi quelques bémols comme l’absence de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives.

*règlement 2016/679 (RGPD) et directive 2016/680