RGPD : Le nouveau cadre légal régissant les données personnelles

Le nouveau cadre légal entrera en vigueur au 25 mai 2018 et il va remplacer la loi informatique et liberté du 6 janvier 1978 qui aura tenu près de vingt-trois ans. Le texte est actuellement débattu à l’Assemblée nationale. A la vérité, il s’agit que d’une transposition du « nouveau cadre européen ». 

Le cadre européen comprend le règlement européen 2016/679 du 27 avril 2016 et la directive 2016/680 du même jour applicable au droit pénal. Même si la Commission nationale de l’informatique et des libertés (CNIL) l’a déploré dans un avis du 30 novembre 2017, la France a choisi une transposition simple. La transposition ne sera pas le duplicata du règlement européen. Au 25 mai prochain, la loi reprendra seulement les dispositions qui s’imposent à la France. 

Quelles sont les nouveautés en matière de protection des données personnelles ?

La grande nouveauté est que le nouveau dispositif n’impose plus de solliciter une autorisation ou une déclaration préalable pour le traitement des données personnelles. Ainsi à partir du 25 mai 2018, les entreprises pourront collecter les informations sur leurs clients sans déclaration préalable ou autorisation préalable auprès de la CNIL. Il est vrai que le système était très difficile à gérer en interne dans les entreprises. La contrepartie à cette absence de déclaration préalable est une responsabilité accrue. Un contrôle renforcé sera assuré a posteriori, soit par la CNIL, soit par l’utilisateur. La CNIL pourra sanctionner lourdement les entreprises qui ne respectent pas les obligations légales. Les amendes pouvant aller jusqu’à 4 % du chiffre d’affaires ce qui est très lourd notamment pour les banques.

Existe-t-il toujours un contrôle a priori pour certaines données ?

La réponse est effectivement positive. Les autorisations préalables sont maintenues pour le traitement des données biométriques, génétiques et sur celles comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. Il s’agit là de données tellement sensibles que la CNIL doit être saisie préalablement au traitement de ces données.

Qu’est-ce que le droit à la portabilité de ses données personnelles ?

Il s’agit du droit pour le citoyen de récupérer ses données personnelles auprès d’un opérateur dès lors qu’il a réalisé sa prestation au sein l’Union européenne. Il s’agit là d’un droit renforcé pour les citoyens. 

N. B. Nous sommes encore loin d’une réglementation uniforme à l’échelle européenne. En effet, en cas de divergence de législations entre les États membres, le droit national s’applique dès lors que la personne concernée réside en France, « y compris lorsque le responsable de traitement n’est pas établi en France ».