Les enjeux de 2017 (2) : disposer impérativement d’une nouvelle loi Informatique et Libertés avant mai 2018

27 mars 2017

Le règlement européen comporte de très nombreux renvois au droit national. Par ailleurs, il n’est pas applicable à certains traitements de données, notamment les fichiers relatifs à la sécurité publique. Le Parlement devra donc adopter une nouvelle loi « informatique et libertés » pour tenir compte de ce nouvel environnement européen qui devra être impérativement adoptée avant le 25 mai 2018, sous peine de rendre très largement inapplicable le nouveau cadre de protection en France.

Le règlement européen comporte 57 mentions ou renvois au droit des Etats membres, donc au droit national. En outre, parallèlement au règlement, a été adoptée une directive applicable aux fichiers en matière de sécurité publique et de recherche et répression des infractions pénales (dite « police-justice »). Il est donc indispensable que le Législateur, en France, procède à une adaptation profonde de la loi « informatique et libertés » pour tenir compte de cette évolution et parachever l’environnement réglementaire, et transposer la directive « police-justice »

Concrètement, la loi devra comporter plusieurs types de dispositions.

  • La loi devra tout d’abord abroger une série d’articles dont la substance est reprise par le règlement ou qui ne peuvent pas coexister avec celui-ci. Tel est notamment le cas de la plupart des articles relatifs aux définitions, règles et principes en matière de protection des données, ainsi que de la plupart des dispositions relatives aux droits des personnes et aux obligations des entreprises ;
  • La loi devra ensuite redéfinir les procédures applicables à la CNIL impactées par le règlement, notamment en matière répressive, afin de prévoir l’européanisation des procédures ;
  • Le Législateur se prononcera également sur les règles applicables dans les matières pour lesquelles le règlement renvoie au droit des Etats membres.

Le règlement fixe le cadre général applicable à l’ensemble des traitements de données à caractère personnel. Toutefois, compte tenu des spécificités de certaines données, ou de l’imbrication entre le droit de la protection des données et d’autres pans du droit (santé, etc.), le règlement européen renvoie, dans plusieurs hypothèses, au droit national.

Les renvois du règlement au droit national sont assez divers, rendant complexe une présentation synoptique. Le chapitre IX a pour objet d’énumérer des champs d’intervention dans lesquels les Etats membres peuvent préciser ou déroger au règlement : traitements journalistiques, traitements et accès du public aux documents officiels, traitement du NIR, traitement des données au travail, traitement des données à des fins de recherche historique, scientifique ou statistique, obligations de secret. Mais il existe aussi des dispositions disséminées, qui renvoie le soin aux Etats membres de fixer les mesures et garanties appropriées ou de compléter les règles existantes.

Les principales dispositions figurent : 

  • à l’article 9, relatif aux données sensibles : « Les Etats membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé » ;
  • à l’article 10, relatif aux données relatives aux infractions ou condamnations pénales ;
  • à l’article 36, sur les pouvoirs des autorités de contrôles sur les fichiers d’intérêt public ;

La loi devra enfin conserver un chapitre relatif à la composition, au fonctionnement et aux missions de la CNIL, qui vont d’ailleurs au-delà du champ du règlement européen.

Document reference

Rapport annuel 2016

Les mots clés associés à cet article