Projet de loi pour une République numérique : quel impact pour la CNIL et la protection des données personnelles ?

07 juillet 2016

La commission mixte paritaire chargée de proposer un texte sur les dispositions restant en discussion du projet de loi pour une République numérique s’est réunie le 29 juin et est parvenue à un accord.  

La CNIL avait émis un avis le 19 novembre 2015 sur l’avant-projet de loi pour une République numérique, rendu public. Adopté en Conseil des ministres le 9 décembre 2015, le projet de loi avait fait l’objet, en procédure accélérée, d’une lecture à l’Assemblée nationale du 19 au 21 janvier 2016 et au Sénat du 26 avril au 3 mai.

Le texte, tel qu’il résulte de la commission mixte paritaire, étend les missions de la CNIL et conforte ainsi son engagement dans la régulation du numérique. Il renforce le montant des sanctions pécuniaires. Il crée de nouveaux droits et permet ainsi aux individus de mieux maîtriser leurs données personnelles. Enfin, il anticipe également le règlement européen sur la protection des données personnelles publié au journal Officiel de l’Union Européenne le 4 mai et applicable en mai 2018. La loi devrait être promulguée en septembre ou octobre 2016.

Des compétences confortées et élargies

  • La saisine pour avis de la CNIL sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Cette rédaction permettra à la CNIL d’apporter son expertise aux pouvoirs publics de manière plus systématique, alors que les textes actuels ne prévoient sa saisine que sur les dispositions relatives à la « protection » des données personnelles.
  • La publicité automatique des avis de la CNIL sur les projets de loi, renforçant ainsi la transparence.
  • L’affirmation de sa mission de promotion de l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données.
  • La certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation. L’anonymisation des bases de données est une condition essentielle à leur ouverture ou à leur partage : elle permet de prémunir les personnes des risques de réidentification, et les acteurs (administrations émettrices de données, réutilisateurs, entreprises privées qui réalisent des recherches notamment statistiques), de la mise en cause de leur responsabilité en la matière. La certification ou l’homologation de méthodologies d’anonymisation ainsi que la publication de référentiels ou de méthodologies générales par la CNIL sera ainsi un gage de protection des personnes et de sécurité juridique pour les acteurs.
  • La conduite par la CNIL d’une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques : même si la loi Informatique et Libertés a toujours comporté une dimension éthique fondamentale, comme en témoignent tant ses conditions de création et son article 1er, que la composition de la Commission, la révolution numérique implique une réflexion élargie sur sa dimension éthique. Depuis plusieurs années, la CNIL joue un rôle d’animation et de facilitation du débat sur les questions touchant au numérique grâce à ses travaux de prospective : publications des cahiers et lettre IP, création en avril 2016 du site LINC (Laboratoire d’Innovation Numérique de la CNIL), comité de le prospective constitués de 15 experts d’horizons divers, dont 12 externes à la CNIL, organisation d’événements et débats.
  • Gouvernance de la donnée : le projet de loi prévoit un rapprochement entre la CNIL et la CADA, à travers, notamment, une participation croisée dans les collèges de leurs présidents respectifs.

Un pouvoir de sanction pécuniaire renforcé

  • Le plafond maximal des sanctions de la CNIL passe de 150.000€ à 3 millions € (anticipation sur l’augmentation du plafond du montant des sanctions par le règlement européen qui sera applicable le 25 mai 2018 et prévoit un plafond jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial).

La création de nouveaux droits

  • Le droit à l’oubli pour les mineurs : le projet de loi crée un « droit à l’oubli » spécifique aux mineurs et prévoit une procédure accélérée pour l’exercice de ce droit. La condition de mineur suffira donc désormais pour obtenir auprès des plateformes l’effacement des données problématiques « dans les meilleurs délais ».
  • L’affirmation du droit à l’autodétermination informationnelle : ce droit, qui s’inspire d’un droit similaire dégagé par la juridiction constitutionnelle allemande, traduit la nécessaire maîtrise par l’individu de ses données. Un tel droit renforce positivement les principes déjà proclamés à l’article 1er en renforçant la capacité de l’individu à maîtriser les usages qui sont faits de ses données à caractère personnel.

L’ouverture des données publiques étendue

Le projet de loi ne remet pas en cause l’équilibre entre transparence administrative et protection de la vie privée et des données personnelles. En effet, les critères de communicabilité n’ont pas changé, et la publication – donc la réutilisation – est subordonnée au caractère librement communicable du document.

Pour autant, en passant d’une logique de la demande d’un accès à une logique de l’offre de données publiques, le projet de loi vise clairement à ouvrir très largement les données publiques. La CNIL va accompagner cette ouverture, notamment en répondant aux demandes de conseil des collectivités publiques ou  des réutilisateurs, puisque toute réutilisation de données personnelles est soumise au « droit commun » Informatique et Libertés. La possibilité pour la CNIL d’homologuer des méthodologies d’anonymisation constituera un élément important de cette régulation.

Dans ce contexte, et afin de promouvoir une ouverture des données publiques respectueuse de la vie privée, la CNIL a décidé de lancer une concertation avec l’ensemble des acteurs concernés pour élaborer un « pack de conformité » en matière de données publiques. Elle a ainsi sollicité la Commission d’accès aux documents administratifs (CADA) et la mission Etalab du SGMAP pour définir, avec les administrations concernées, les bonnes pratiques en la matière.

Utilisation du NIR chiffré à des fins de recherche ou de statistiques

Le projet de loi prévoit d’alléger les formalités pour les travaux statistiques et de recherche scientifique et historique. Il crée un « code spécifique non signifiant » obtenu au moyen d’une opération cryptographique du NIR, dont les modalités seront précisées par décret en Conseil d’Etat pris après avis de la CNIL.

Il permettra notamment aux services statistiques ministériels (SSM) et aux chercheurs publics d’opérer des appariements de données en utilisant ce code non signifiant sans avoir recours à la procédure plus contraignante du décret pris en Conseil d’Etat pris après avis de la CNIL, qui est en principe nécessaire pour les traitements comportant le NIR (art 27 de la loi Informatique et Libertés).

A travers ces évolutions, le projet de loi pour une République numérique conforte donc le rôle de régulateur de la CNIL.

Les mots clés associés à cet article