L’adoption du « paquet européen de protection des données » le 27 avril 2016 a lancé au sein des Etats membres un mouvement de réforme des législations nationales sur les données personnelles. C’est notamment l’entrée en vigueur du Règlement Général sur la Protection des Données 2016/679 (http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR) (« RGPD ») qui vient marquer une avancée notable en la matière. C’est dans l’optique de l’application de ce règlement que le gouvernement français a rendu public le 13 décembre 2017 le « Projet de loi relatif à la protection des données personnelles » venant adapter la Loi informatique et libertés au RGPD ( http://www.legifrance.gouv.fr/affichLoiPreparation.do?idDocument=JORFDOLE000036195293&type=general&typeLoi=proj&legislature=15).
Ce projet de loi met en avant la volonté, contenue dans le règlement européen, d’accentuer l’influence des autorités de contrôle nationales compétentes en matière de données personnelles. A cet effet, de nombreux changements relatifs aux pouvoirs et à l’organisation de la CNIL (http://www.cnil.fr/) sont prévus. On relève, le renforcement de son rôle, notamment à travers l’extension de ses pouvoirs en matière de « soft law » et de sanction. Certaines modifications concernent également son pouvoir d’investigation et sa coopération avec d’autres autorités de contrôle de l’UE. En ce sens on constate que la CNIL pourra désormais assortir ses conclusions d’une demande de question préjudicielle à la Cour de Justice de l’Union européenne en vue d’apprécier la validité de la décision d’adéquation de la Commission européenne ainsi que de tous les actes pris par la Commissions européenne autorisant ou approuvant les garanties appropriées dans le cadre des transferts de données. En outre, on constate l’élargissement de son champ d’action par le biais de sa capacité à demander au Conseil d’Etat ( http://www.google.fr/search?q=conseil+d%27%C3%A9tat&rlz=1C1CHBD_frFR778FR778&oq=conseil+d%27&aqs=chrome.0.69i59j0j69i57j0l3.1759j1j4&sourceid=chrome&ie=UTF-8) d’ordonner la suspension ou la cessation du transfert de données en cause, le cas échéant sous astreinte.
Par ailleurs, le projet de loi établit une procédure spécifique pour le traitement des données issues du domaine de la santé. Si cette catégorie de traitement inclut la recherche médicale et l’évaluation des soins, elle exclut cependant, dès lors qu’ils relèvent des dispositions sur les données sensibles, les traitements « nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé ». Aussi, conformément au RGPD, le projet de loi met en place une interdiction de principe de traiter des données dites « sensibles », de traiter des données génétiques et biométriques aux fins d’identifier une personne physique de manière unique. Il va en revanche plus loin que l’article 9.2 du RGPD en prévoyant la possibilité, pour l’administration et les employeurs d’utiliser des données biométriques à des fins de contrôle d’accès aux lieux de travail, appareils et applications. De plus, le projet de loi limite à seulement certaines catégories de personne l’utilisation des données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes à seulement certaines catégories de personnes. Une exception est, en revanche, prévue lorsque ce type de données est utilisé dans le but d’exercer une action en justice en tant que victime, mis en cause, ou pour le compte de ceux-ci et de faire exécution la décision rendue. Enfin, il a été prévu, en matière procédurale, que les personnes concernées pourront être représentées individuellement par toute organisation ou association habilitée à procéder à des actions de groupe dans le cadre de réclamation ou d’action à l’encontre de la CNIL.
Bien que le projet de loi s’inscrive dans la lignée du RGPD, on relève, néanmoins, quelques divergences entre les deux textes. En effet, si le RGPD supprime les formalités préalables auprès des autorités de contrôle, sous réserve de quelques exceptions, le projet de loi, lui, les conserve auprès de la CNIL pour les données de santé dans certains domaines. De surcroît, il conserve également un niveau élevé d’autorisation pour les traitements pour le compte de l’Etat, dont l’utilisation de données biométriques ou génétiques à titre d’indentification et de contrôle d’identité. Les traitements nécessitant l’utilisation du numéro de sécurité sociale (NIR) seront également autorisés dans le cadre d’un décret en Conseil d’Etat, pris après avis motivé et publié de la CNIL qui déterminera les catégories de responsables de traitement et les finalités de ces traitements. L’utilisation des NIR sera également autorisée à titre dérogatoire pour les besoins de statistiques nationales, de relations électroniques avec l’administration française et de recherche scientifique. Par conséquent, le projet de loi s’avère plus inflexible à cet égard.
On regrette l’absence de précisions du projet de loi quant à la nomination du Délégué à la Protection des Données (« DPO ») ou encore quant à l’âge requis concernant le consentement des mineurs, aspects pour lesquels était pourtant prévue une certaine marge de manœuvre aux Etats membres.
En conclusion, au vu de ces quelques décalages, il est certain que, même après l’adoption de la loi, certaines modifications soient encore nécessaires pour rendre la loi française d’autant plus compatible avec le RGPD. On tiendra cependant à mesurer l’impact de ces divergences dans la mesure ou le règlement européen demeure d’application directe.