La reconversion, parent pauvre des politiques d…
Présenté en Conseil des Ministres ce jeudi 13 décembre par Nicole Belloubet, Garde des Sceaux, le Projet de loi a vocation à adapter au RGPD l’actuelle loi Informatique et Libertés.
De 1978 – date à laquelle sa première version est entrée en vigueur – à aujourd’hui, de nombreuses modifications sont intervenues. Mais celle-ci a un goût particulier, celui de l’harmonisation ; et ce, malgré les 57 mentions ou renvois au droit national des États membres. Quels éléments sont les plus significatifs?
Sur la forme, la structure du projet de Loi soulève des interrogations s’agissant de la lisibilité du droit des données. Par exemple, les éléments relatifs à la recherche ne sont pas tous compris dans la section dédiée à la celles-ci mais sont répartis à différents endroits.
Concernant le fond, l’article 9 du projet de Loi (qui remplace l’article 22 de la LIL) encadre très – voire trop – les traitements portant sur le NIR ; même la CNIL, d’habitude très frileuse concernant les traitements relatifs à cette donnée, a exprimé ses réserves dans la mesure où le système « n’offre aucune souplesse ». Quel serait ce nouveau cadre ?
Bon nombre de professionnels utilisant le NIR dans le traitement se verraient donc contraints à demander une autorisation réglementaire. Comme le soulève la CNIL, cela « pourrait freiner le développement de dispositifs innovants ». Par exemple, « les fournisseurs de solutions de télémédecine qui doivent traiter le NIR des patients à des fins de remboursement ne pourraient le faire qu’après y avoir été autorisés par voie réglementaire ».
Outre la question du NIR, le projet entend garder le système de l’autorisation unique pour les traitements liés à la recherche avec comme nouveau principe « silence vaut acceptation ». Ce fonctionnement serait pratique pour les professionnels, mais peut-être un peu moins efficace pour la protection des données. A noter que cette autorisation est la seule qui est conservée par le projet, lequel s’inscrit donc dans la démarche de responsabilisation mise en place par le RGPD.
Il va sans dire que pour s’assurer du respect des nouvelles obligations, la CNIL avait besoin de nouveaux pouvoirs. Désormais, elle peut utiliser une identité d’emprunt lors des contrôles en ligne, sans que celle-ci n’ait une incidence sur la régularité de la procédure. Elle peut également prononcer une injonction de mise en conformité pouvant être assortie d’un montant maximum de 100 000 euros par jour. Bien évidemment, l’ensemble de ces nouvelles prérogatives a vocation à dissuader toute entorse à la réglementation.
A certains égards, le projet de Loi n’est pas exhaustif et les professionnels devront attendre des précisions, soit par amendement du projet, soit par voie réglementaire. Plusieurs questions se posent : quelles conséquences en cas de refus de communication des traitements effectués suite à une demande d’accès au registre ? Comment s’assurer de l’âge des personnes qui ont moins de 16 ans, et par incidence, du consentement de leurs parents ?
Le projet de loi contient également des divergences avec d’autres textes législatifs, notamment en ce qui concerne le consentement des personnes concernées dans le cas où la recherche nécessite le recueil de prélèvements biologiques identifiants.
Des difficultés pourraient aussi naître du champ d’application de la loi puisqu’en cas de divergences de législations nationales, sera applicable celle de l’Etat dans lequel la personne réside, même lorsque le responsable de traitement n’est pas établi en France.
Quoi qu’il en soit, les professionnels doivent d’ores-et-déjà définir leur gouvernance, les procédures applicables, établir leurs registres, leur plan de formation des salariés, sécuriser leurs infrastructures, leurs traitements, intégrer le Privacy by Design dans leurs process projet, revoir les contrats et encadrer les transferts.
Ce projet devrait évoluer dans les prochaines semaines ; en espérant que la loi – mais aussi les décrets d’application – entreront en vigueur avant le 25 mai 2018. Sans quoi, les multiples divergences existantes entre l’actuelle loi informatique et libertés et le RGPD pourraient induire en erreur les différents acteurs.
Jeanne Fourcade, Consultante UC Compliance