Accueil > Dossiers > [ITW] Le RGPD n’est-il qu’un prolongement de la loi LIL à l’échelle européenne ?
interview mastaneh djazayeri

[ITW] Le RGPD n’est-il qu’un prolongement de la loi LIL à l’échelle européenne ?

Le RGPD, entré en vigueur dans l’Union européenne le 25 mai 2018, n’est-il qu’un prolongement des législations nationales à l’échelle du vieux continent ? Pour le savoir, nous nous sommes entretenus avec Mastaneh Djazayeri, Juriste / Compliance R.G.P.D, Docteur en Droit, déléguée à la Protection des Données, certifiée Bureau VERITAS chez Alpha Conseils Technologies.

Le RGPD introduit de nouvelles règles à l’échelle européenne concernant la protection des données par les organisations. Auparavant, la protection des données était régie par les lois nationales. En France, par exemple, la loi Informatique et Liberté est en vigueur depuis 1978.

Pour Mastaneh Djazayeri, spécialiste en la matière, le RPGD qu’on nous présente comme une nouveauté majeure n’est en quelque sorte qu’une prolongation de la loi LIL. Afin d’en savoir plus, nous sommes partis à sa rencontre.

Cliquez ici pour un accompagnement sur le RGPD

LeBigData.fr : Selon vous, le RGPD n’est finalement qu’un prolongement (à l’échelle européenne) de la Loi Informatique et Libertés déjà en vigueur en France. Pouvez-vous expliquer pourquoi ?

La loi Informatique et Libertés du 6 janvier 1978 a été la pierre angulaire en matière de protection des données à caractère personnel dans notre législation nationale. Elle a fait l’objet par la suite d’un certain nombre de modifications et évolutions législatives en considération de l’évolution de l’ère numérique et des services offerts aux utilisateurs.

Il y a eu une première modification effectuée par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel. Par la suite, nous avons eu la loi LEMAIRE en date du 7 octobre 2016 (plus communément appelée la loi sur la république numérique), où l’on trouvait certaines dispositions qui anticipaient le RGPD telle que la portabilité, le droit à l’oublipour les mineurs, l’information des personnes sur la durée de conservation de leurs données, et la possibilité d’organiser le sort de ses données personnelles après la mort.

De son côté, le RGPD consacre et renforce les grands principes de la loi informatique et liberté et accroît sensiblement les droits des citoyens en leur donnant plus de maîtrise sur leurs données.

Nous ne pouvons pas affirmer de façon stricte que le RGPD est le prolongement à l’échelle européenne de la LIL, dans la mesure où chaque état membre disposait dans sa législation nationale de loi relative à la protection des données des personnes physiques.

Cependant, ce règlement reprend pour partie les acquis préexistants en matière des législations nationales européennes et y a adjoint de nouvelles dispositions. De fait, l’essence même de la loi informatique et liberté perdure. C’est en ce sens que le RGPD vient compléter notre arsenal juridique et en constitue d’un certain point de vue le prolongement.

Le but principal du RGPD et son principal avantage sont d’harmoniser la législation européenne en matière de protection des données, même si chaque état membre a la possibilité d’adapter ou d’ajouter d’autres dispositions législatives nationales. Par ailleurs, le RGPD prévoit 54 renvois au droit national, d’où la nécessité de conserver la loi informatique et liberté comme fondement légal.

Cliquez ici pour un accompagnement sur le RGPD

LeBigData.fr : quelles sont toutefois les différences entre la loi Informatique et liberté et le RGPD ?

rgpd

Plutôt que de différences, je parlerais de nouveautés liées à l’évolution des technologies modernes. Une des différences fondamentales réside dans la manière pour un responsable de traitement d’avoir à démontrer sa conformité.

Sous le régime de la loi informatique et liberté, les organismes étaient régis par le régime des formalités préalables avant la mise en œuvre du traitement et l’autorité de contrôle devait prouver la non – conformité.

Désormais, il y a absence de formalité préalable sauf cas particulier (notamment pour les transferts de données à caractère personnel vers un pays non membre de l’UE). Les entreprises ont désormais l’obligation de tenir le registre des activités de traitement ainsi que les études d’impact sur la vie privée.

Les organismes doivent désormais prouver leur conformité à l’autorité de contrôle. Avec le RGPD, il s’impose l’obligation  » d’accountability «  à savoir l’obligation de mettre en place des processus, des procédures internes pour démontrer son niveau de conformité. En somme, sous la LIL, les organismes étaient soumis vis – à – vis de l’autorité de contrôle à une obligation de moyen, tandis qu’avec le RGPD ils sont désormais soumis à une obligation de résultat.

Les entreprises doivent aussi intégrer dans les projets techniques et organisationnels le  » privacy by design  » et le  » privacy by default « , et renforcer les mesures de sécurité. Une autre nouveauté introduite par le RGPD est la notion de responsabilité conjointe du responsable du traitement. Ce principe n’était pas abordé dans la LIL. Concrètement, il s’agit d’une coresponsabilité entre le responsable de traitement et le sous-traitant qui permettra, en cas de sanction administrative de répartir le montant de la sanction entre le responsable de traitement et le sous-traitant.

En somme, plutôt que de parler de différences entre la LIL et le RGPD, on peut dire que certaines dispositions du RGPD sont venues renforcer notre législation nationale et l’harmoniser sur certaines dispositions avec la législation européenne.

LeBigData.fr : Quelles mesures doivent prendre les entreprises qui respectaient déjà la loi Informatique et libertés ?

Depuis la mise en œuvre du RGPD le 25 mai 2018, les entreprises doivent prendre plusieurs mesures pour mieux protéger les données. Tout d’abord, elles doivent minimiser la collecte des données en ne collectant que les données nécessaires à la finalité pour laquelle celles-ci sont recueillies. De même, les entreprises ne peuvent recueillir le consentement de la personne concernée que pour une finalité déterminée ou similaire.

Toujours dans cette logique, les entreprises doivent faire preuve de licéité, de loyauté et de transparence quant au recueil du consentement de la personne dont les données vont être collectées. Elles doivent aussi l’informer sur les droits qui lui sont dévolus tels que le droit à l’effacement, à l’opposition, et à la rectification.

Les entreprises doivent aussi garantir l’exactitude des données en veillant à ce que les données traitées soient à jour, et supprimer ou rectifier celles qui ne le sont pas. Il leur incombe également de veiller à la sécurité des données collectées, et tout particulièrement celle des données sensibles et des données relatives aux mineurs et personnes vulnérables.

Par ailleurs, le RGPD introduit une notion de limitation de conservation des données. Les entreprises doivent dorénavant indiquer la durée de conservation des données. Si cela n’est pas possible, elles doivent l’estimer de manière raisonnable en fonction de la finalité du traitement.

En outre, les entreprises doivent maintenant mettre en place une procédure de gestion des incidents quant aux violations des données. À compter de la constatation d’une violation, elles sont tenues d’en informer l’autorité de contrôle voire même la personne concernée dans un délai de 72h. Si elles ne peuvent le faire, elles doivent en expliquer les raisons.

Cliquez ici pour un accompagnement sur le RGPD

LeBigData.fr : Quelles sont les nouveautés du projet de loi informatique et liberté 3 récemment soumis au parlement ?

La loi n°2018 – 493 en date du 20 juin 2018 relative à la protection des données personnelles a été promulguée le 20 juin 2018 et publiée au Journal Officiel le 21 juin dernier. Cette loi a pour vocation d’adapter la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés au droit de l’Union européenne suite à l’entrée en vigueur du RGPD le 25 mai 2018 et de la directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.

Plutôt que d’abroger la loi du 6 janvier 1978, le législateur a choisi d’y intégrer les dispositions issues du RGPD et de la directive précitée. Néanmoins, les modifications apportées par ce projet de loi devront être codifiées, par voie d’ordonnance dans la loi du 6 janvier 1978 dans le but d’offrir un cadre juridique qui sera davantage lisible pour les citoyens et acteurs économiques.

Il est bien évidemment impossible dans le temps qui nous est imparti d’aborder toutes les dispositions de cette loi. Je vais me cantonner à évoquer de manière succincte les principaux ajouts de la nouvelle loi.

cnil logo

Le titre I, relatif aux dispositions communes au règlement et à la directive, revient sur les missions et les pouvoirs de la CNIL. Il tire les conséquences du régime du système déclaratif et du contrôle à priori à la faveur d’une logique d’accountability (à savoir le principe de la responsabilisation des acteurs économiques et de mettre à la charge de ces derniers la preuve de leur conformité avec la loi et le règlement).

Ainsi, l’article 1 de la loi procède à la modification des missions dévolues à la CNIL et les élargit. Outre les missions obligatoires (certification, consultation par les présidents d’assemblée nationale et du sénat, réponse aux demandes d’exercice des droits) qui étaient assignées à la CNIL par le règlement, la loi autorise la haute autorité de contrôle à prendre des mesures d’accompagnement.

Ainsi, la CNIL peut désormais adopter des lignes directrices, de recommandations, de référentiels, de codes de bonne conduite, et de règlements types (pour assurer la sécurité des systèmes de traitement et régir les traitements de santé). Elle peut aussi procéder à la certification des personnes (et donc à la certification des délégués à la protection des données), des produits et des systèmes de données ou des procédures, et agréer des organismes de certification.

La CNIL peut aussi présenter des observations à l’occasion de litiges relatifs à l’application du règlement et de la loi devant toutes les juridictions, et enfin procéder à l’établissement de traitement nécessitant la réalisation d’une analyse d’impact préalable.

Une autre des nouveautés introduites dans le cadre de cette loi réside dans les pouvoirs dévolus à la CNIL. Ces nouveaux pouvoirs viennent renforcer les contrôles a posteriori qu’elle sera amenée à effectuer. Ainsi, dorénavant, les agents de la CNIL pourront faire usage d’une identité d’emprunt lors des contrôles en ligne. De cette manière, il ne sera pas possible pour les responsables de traitement de pouvoir procéder au rattachement de l’agent à la CNIL. Auparavant ce rattachement était aisément décelable grâce à l’adresse mail utilisée.

De même, l’opposabilité du secret professionnel aux agents de la CNIL est précisée, dans trois cas particuliers : la relation entre un avocat et son client, le secret des sources de traitements journalistiques, et, dans certaines situations, le secret médical.

Des modifications ont aussi été apportées à la loi LIL concernant les données de santé. L’article 9.4 du RGPD prévoyait en son sein pour les états membres la faculté d’introduire ou encore de maintenir des conditions supplémentaires ainsi que des limitations en matière de régime des traitements de données de santé, qui sont par essence des données dites sensibles dans certains cas. Ces données ne pouvaient faire l’objet de traitement, sauf exception prévues par le règlement.

Dans le cadre de cette nouvelle loi, le législateur français a consacré un chapitre IV relatif aux données de santé. Ces articles viennent se substituer aux anciennes dispositions. Désormais, la nouvelle mouture de la loi introduit un régime général applicable à l’ensemble des données de santé ainsi que des dispositions plus spécifiques additionnelles dans le domaine de la recherche.

LeBigData.fr : La loi LIL 3 ne tend-elle pas à se cumuler avec celles du règlement ?

Effectivement, les nouvelles dispositions applicables en France tendent à se cumuler avec celles du règlement. Ceci a pour conséquence inéluctable d’engendrer des obligations spécifiques supplémentaires en fonction des types de traitements de données.

La tâche des responsables de traitement s’en trouve compliquée, car ils devront interpréter les deux textes de manière croisée afin de déterminer selon le cas quelles vont être les dispositions applicables et de ce fait le régime juridique liés à ce traitement. C’est un travail au cas par cas qui ne sera pas aisé et source de lourdeur et de confusion.

De même, le LIL a prévu un régime spécifique applicable aux traitements de données réalisées en matière de recherche. Le chapitre IX prévoit désormais le principe d’une autorisation préalable de ces traitements de données de données par la CNIL, excepté s’il existe des règlements types, référentiels ou méthodologies de référence qui permettront de se conformer à la loi par le biais d’un engagement de conformité.

Tout l’enjeu sera de vérifier si les traitements de données auront une finalité de recherche ou non, car ces deux régimes présentent des variantes. Précisons toutefois qu’un certain qu’un certain de traitements sont exclus du champ des nouvelles dispositions de la LIL et de son chapitre IX.

Toujours dans le titre I de la loi, en ce qui concerne le traitement des données sensibles, le législateur a introduit les données biométriques et les données génétiques. En principe, ces deux catégories de données ne peuvent faire l’objet de traitement tel que prévu par les dispositions du RGPD.

Cependant, la loi a créé une dérogation au profit des employeurs leur permettant ainsi de continuer à traiter cette catégorie de données aux fins de contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisées dans le cadre des mentions confiées aux salariés.

Dans le domaine de traitement des données de santé dite sensibles, la difficulté majeure se pose en termes d’articulation entre le RGPD et la LIL. Il sera désormais indispensable d’analyser chaque situation et chaque cas de traitement ou de catégorie de traitement en considération des deux textes précités.

Pour conclure, nous devons patienter pour que le cadre légal actuel puisse être complété par l’ordonnance qui est annoncée dans les 6 mois à venir avec les décrets d’application. Dans le même temps, la CNIL devra publier les référentiels et règlements types que nous avons évoquées et qui seront des indicateurs particulièrement précieux tant sur le niveau de conformité demandé en ce qui concerne chaque catégorie de traitements qu’une voie de simplification importante des formalités incombant à la charge des responsables de traitements.

LeBigData.fr : Ce projet a été vivement critiqué par de nombreux membres de l’ACSEL, car il entre en contradiction avec le RGPD. Qu’en pensez-vous ? Ces critiques sont-elles justifiées ?

Un des principaux reproches des membres de l’ACSEL est le caractère approximatif et provisoire de cette disposition législative, dans la mesure où ce projet de loi relatif à la protection des données personnelles a été effectué dans le cadre d’une procédure accélérée. Le législateur n’a donc pas pris le temps de la réflexion pour se consacrer pleinement à la transposition des dispositions du RGPD au sein de notre législation nationale.

C’est surtout cela qui inquiète les membres de l’ACSEL. Ils estiment à bien des égards que cette loi qui transpose les dispositions du RGPD est en contradiction avec le règlement européen sur plusieurs points.

Les articles 2 et 3 de la loi actuelle rentrent en contradiction avec l’article 4 du RGPD. Ce dernier donne une définition plus explicite de données à caractère personnel. En ce qui concerne la définition du traitement, le règlement opte pour les termes de « structuration » et de « limitation » alors que la loi parle de « verrouillage ». Par ailleurs, la loi ignore le concept de coresponsable de traitement alors que c’est une des innovations majeures du RGPD.

De même, le champ d’application territorial n’a aucun rapport avec celui de l’article 5 de la loi du 6 janvier 1978 qui a été maintenu. Cet article évoque le principe du public cible alors que le règlement est applicable aux responsables de traitements qui sont ou non établies au sein de l’UE à partir du moment qu’ils offrent de biens ou de services sans qu’il y ait forcément lieu à paiement à des personnes se trouvant dans un des états membres de l’UE. Enfin, le projet de loi fait totalement abstraction du principe d’accountability. Or, il s’agit là aussi d’une des innovations du RGPD liée à la responsabilisation des entreprises.

En conclusion, leurs critiques peuvent être légitimes à certains égards dans la mesure où ils ne disposent pour le moment que d’un arsenal législatif provisoire dans l’attente d’une ordonnance à venir dans les 6 mois à compter de la promulgation de la loi et que la loi de ratification elle-même devra être adoptée dans les 6 mois de l’adoption de l’ordonnance. Que d’attente pour parvenir à une loi définitive et de difficulté de mise en œuvre dans la pratique pour les acteurs économiques.

Pour le moment, cette nouvelle mouture de la loi n’aura qu’une durée de vie législative réduite de 12 mois avec toutes les complications d’application que cela va générer pour les acteurs économiques et les obligations de conformité que le nouveau règlement exige désormais de ces derniers.

En conséquence, les responsables de traitement devront se contenter de l’arsenal juridique provisoire qui leur est proposé et être particulièrement vigilants quant à sa mise en application au quotidien. Ils devront aussi veiller à procéder à une étude au cas par cas des traitements mis en œuvre et des dispositions applicables. Tout ceci complique très sérieusement leurs tâches et tend à les rendre chronophages.

Pour profiter de conseils ou d’informations relatives à la protection des données personnelles et à la législation en vigueur, vous pouvez contacter Mastaneh Djazayeri de Alpha Conseils à l’adresse servicejuridique@alphaconseils.com

Cliquez ici pour un accompagnement sur le RGPD

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Send this to a friend