RGPD : l’Acsel demande une révision profonde de la loi Informatique et Libertés
L’association professionnelle réclame une révision en profondeur de la loi datant de 1978 pour accompagner l’entrée en vigueur du RGPD.
Un simple toilettage de la loi Informatique et Libertés, datant de 1978 et amendée en 2004, ne pourrait suffire. Dans un billet publié sur le site de La Tribune, l’Acsel, association regroupant 1 200 professionnels de l’économie numérique, demande sa révision en profondeur.
Pour tenir compte de l’entrée en vigueur prochaine du règlement européen sur la protection sur les données personnelles (RGPD) le 25 mai prochain, le gouvernement a soumis au Parlement un projet de loi de loi qui doit mettre à jour notre dispositif législatif national.
Or, pour l’Acsel, ce projet de loi Informatique et Libertés 3, dit LIL3, conserve le cadre de la loi n°78-17 du 6 janvier 1978 et ne la modifie que marginalement, « ce qui n’est pas sans poser quelques problèmes ».
A commencer par préciser ce qu’est une donnée personnelle. Dans son article 4, le RGPD en a une définition plus complète. Une donnée personnelle est toute information susceptible d’identifier directement ou indirectement une personne physique.
Le règlement européen précise ensuite les exigences qui s’imposent au responsable du traitement mais aussi à ses sous-traitants. Selon l’Acsel, «la loi française ignore même le concept de coresponsable de traitement alors qu’il s’agit là d’une avancée considérable apportée par le RGPD ! »
Des amendes allant jusqu’à 4 % du chiffre d’affaires
Autre avancée introduite par le RGDP, le règlement s’applique aux organisations européennes mais aussi aux entreprises établies hors UE pour peu qu’elles gèrent des données de citoyens européens. Les services des américains d’Amazon Web Services ou de Microsoft Azure sont ainsi concernés. Ce champ d’action extra territorial est une des grandes avancées du RGPD que n’a pas la loi nationale.
Par ailleurs, le RGPD introduit de nouveaux principes : l’auto-contrôle du responsable du traitement (accountability), la prise en compte du respect de la vie privée dès la conception d’un nouveau service (privacy by design) et l’intégration par défaut du niveau le plus haut élevé de sécurisation des données personnelles (privacy by default).
Autant de changements d’importance qui nécessitent, selon l’Acsel, que « le projet de loi soit réécrit et complété sur bien des aspects ». Ce travail parlementaire doit enfin, selon l’association, avoir une valeur pédagogique.
Il doit rappeler aux entreprises les enjeux du RGPD ne serait ce qu’au regard du montant des sanctions prévues. La Cnil pourra prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, le montant retenu étant le plus élevé des deux.
