Le Gouvernement a lancé le projet de loi visant à mettre à jour la loi Informatique, fichiers et libertés en regard du RGPD qui entrera pleinement en vigueur le 25 mai prochain. Comme il se doit, pour un projet de loi touchant à la réglementation des données à caractère personnel, la Cnil a été consultée.
Elle le fut avant le lancement du projet de loi au Conseil des ministres du 13 décembre, et la Cnil avait rendu son avis au Gouvernement le 30 novembre. Elle l’a rendu public, précisément lors du lancement du projet le 13 décembre.
Dans son texte de présentation de l’avis la Cnil « regrette le retard pris dans la préparation de ce projet de loi. Elle appelle, de toute urgence, à l’adoption de l’ordonnance prévue pour la réécriture du droit français de la protection des données afin de rendre le nouveau cadre juridique plus lisible pour les professionnels et les citoyens. » Elle souligne entre autres quelques points du projet de loi.
À lire
Données personnelles : comment protéger sa vie privée en 6 étapes
Points positifs
« La Commission, dans son avis, salue cette nouvelle étape et souligne que le projet de loi joue pleinement le jeu du Règlement et de l’harmonisation recherchée par celui-ci, en ne maintenant des dérogations nationales que lorsque celles-ci sont réellement justifiées, notamment en matière de données de santé.
Plus spécifiquement, la Commission se félicite de la prise en compte de ses observations sur de nombreux points, en particulier ayant pour objet de préciser l’étendue de ses pouvoirs de contrôle et les modalités de réalisation d’opérations conjointes avec d’autres autorités européennes, de compléter les pouvoirs de sa formation restreinte afin de garantir le respect des droits des personnes, ou de clarifier les conditions de traitement des données biométriques. »
Points négatifs
« En revanche, la Commission regrette que d’autres propositions n’aient pas été retenues, tendant notamment à l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives, ou bien à l’adaptation de ses procédures pour lui permettre de faire face à l’augmentation d’activité liée au nouveau cadre européen. La Commission appelle à l’approfondissement de la réflexion sur ces différents points.
En outre, et de manière plus générale, la Commission souligne le calendrier trop tardif retenu pour l’examen de ce texte et rappelle que ce projet de loi, ainsi que ses décrets d’application, devront impérativement entrer en vigueur avant le 25 mai 2018.
Elle attire également l’attention sur le risque important de manque de lisibilité des nouvelles dispositions du fait, notamment, du choix du projet de loi, consistant à n’opérer que les modifications « a minima » nécessaires à la mise en œuvre du Règlement et de la Directive, et à renvoyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une ordonnance ultérieure. La Commission appelle dès lors à l’adoption la plus rapide possible de cette ordonnance. »
Des délais très courts
Par ailleurs, il faut encore tenir compte du temps qu’il faudra aux justiciables (nous tous) et spécialement aux juristes pour digérer le nouveau texte, surtout après avoir digéré le gros opus que constitue déjà le RGPD en lui-même. Ce toilettage de la loi « a minima » comme le souligne la Cnil devra donc être appréhendé par les juristes avant de s’habituer plus tard à une autre réécriture complète de la loi qui deviendrait donc une sorte de Code des données personnelles qui ne dit pas son nom.
Voir le communiqué de publication complet de l’avis de la Cnil du 30 novembre, en date du 13 décembre : cnil.fr