Le Règlement Général européen sur la Protection des données Personnelles (RGPD, GDPR en Anglais) est d'application directe sur l'ensemble du territoire de l'Union Européenne (contrairement à une directive). Il n'est donc pas nécessaire de le transposer en droit français pour le rendre applicable sur le sol de notre pays. Cependant, ses dispositions peuvent être en contradiction avec le texte de la loi du 6 janvier 1978 dite « Informatique et Libertés », déjà plusieurs fois modifiée. Le Ministère de la Justice a donc communiqué sur la préparation d'une loi qui devrait être adoptée sous forme d'ordonnance, réalisée en collaboration avec le Secrétaire d'Etat au numérique, Mounir Mahjoubi, visant à modifier le texte afin d'éviter ces conflits. Ceux-ci seraient en effet sources de confusion qui, en cas de litiges, amèneraient de toute façon la prééminence du RGPD. Cette ordonnance ajoutera également des dispositions dans les possibilités de spécificités nationales.
Dans un souci de lisibilité, l'ordonnance reprendra l'architecture de la loi de 1978. Afin de respecter le texte du RGPD, les démarches et contrôles a priori vont être pour l'essentiel remplacées par des contrôles a posteriori largement décidés sur la base des risques réels. Le niveau des sanctions prévu par le RGPD sera transposé formellement dans la loi et, évidemment, ces sanctions pourront être prises par la CNIL.
Des dispositions nationales plus protectrices
Côté spécificités nationales, le gouvernement a indiqué le maintien de contrôles a priori sur les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes et sur celles utilisant le numéro d'inscription au répertoire national d'identification des personnes physiques (« numéro de sécurité sociale »). Pour les mineurs de moins de seize ans, les titulaires de l'autorité parentale devront également formellement donner un accord pour que leurs données personnelles soient traitées, notamment par les réseaux sociaux. Cette étrange disposition, partant d'un bon sentiment, risque de rencontrer quelques difficultés pratiques.
A l'inverse, un mineur de plus de quinze ans pourra s'opposer à la communication de données de santé à ses parents. De la même façon, les informations sur les données pénales feront l'objet d'un droit d'accès et de rectification direct par les personnes concernées alors que, aujourd'hui, l'accès est indirect, via la CNIL. Les citoyens pourront également déléguer leurs droits d'accès et de rectification à une association de défense.
Un avis globalement positif de la CNIL
Le 30 novembre 2017, la CNIL, principale concernée, avait, conformément à la Loi, rendu un avis préalable sur le projet du gouvernement. Celui-ci a été publié en même temps que le communiqué du Ministère de la Justice. Cet avis est globalement positif et l'autorité administrative indépendante se réjouit d'avoir vu ses principales remarques émises lors des travaux préparatoires prises en compte.
Cependant, la CNIL regrette que les traitements algorithmiques de données personnelles ne soient pas mieux encadrés. Surtout, elle craint que le texte ne soit trop tardif : l'ordonnance mais aussi ses décrets d'applications doivent en effet absolument être en place lors de l'entrée en vigueur du RGPD, le 25 mai 2018.