Retours sur les modifications apportées par les sénateurs au projet de loi relatif à la protection des données personnelles

Publié le 13 avril 2018 par
Les contributions n'engagent que leurs auteurs

Le 22 mars 2018, à la suite de l’Assemblée nationale, le Sénat a adopté en première lecture le projet de loi relatif à la protection des données personnelles.

Partagez cet article :

 

Le 22 mars 2018, à la suite de l’Assemblée nationale, le Sénat a adopté en première lecture le projet de loi relatif à la protection des données personnelles.

Ce texte vise à adapter la Loi Informatique et Libertés au « paquet européen de protection des données personnelles » adopté par le Parlement européen et le Conseil le 27 avril 2016, qui est composé du Règlement européen sur la protection des données (RGPD) et de la Directive 2016/680 relative aux traitements en matière policière et judiciaire. Les sénateurs ont apporté des modifications significatives au texte adopté par les députés sur les points listés ci-dessous.

Des dispositions renforcent les droits et libertés des personnes concernées, elles visent notamment à :

  • mettre en place un dispositif de labellisation pour les objets connectés par la CNIL, afin de s’assurer qu’ils soient conformes à la réglementation sur les données personnelles (art. 1er) ;
  • rétablir l’obligation d’autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté, préciser les conditions d’extension de la liste des personnes autorisées à mettre en œuvre ces fichiers, préciser le cadre juridique de la mise à disposition des décisions de justice (« open data ») afin de prévenir tout risque d’atteinte à la vie privée des personnes et à l’indépendance de la justice, notamment en prévenant tout risque de réidentification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions (article 11) ;
  • garantir la non-utilisation des données personnelles de santé pour fixer les prix des assurances ainsi que l’impossibilité d’utiliser ces mêmes données à des fins de choix thérapeutique ou médical (art. 13) ;
  • maintenir à 16 ans, conformément au droit commun européen, l’âge minimal à partir duquel un mineur peut consentir lui-même au traitement de ses données personnelles (art. 14 A) ;
  • encadrer strictement l’usage d’algorithmes par l’administration pour la prise de décisions individuelles et renforcer les garanties de transparence y afférant (art.14) ;
  • inscrire dans le code de l’éducation le principe de la transparence du traitement des données scolaires (art. 14 bis A) ; et
  • s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectant toutes les conditions applicables au consentement issues du RGPD (article 17 bis).

Prenant en compte les inquiétudes des petites entreprises et des collectivités territoriales, qui, pour une large part, ne seront pas prêtes à appliquer le RGPD à son entrée en vigueur, les sénateurs ont notamment voté :

  • le report de deux ans l’entrée en vigueur de l’action de groupe en réparation (art. 16A) ;
  • la suppression de la faculté pour la CNIL de prononcer des amendes et des astreintes administratives à l’encontre des collectivités territoriales et leurs groupements (art.6) ;
  • la création d’une dotation en faveur des communes afin de les aider à supporter les charges liées à leur mise en conformité à la réglementation sur la protection des données personnelles (art. 19 bis) ; et
  • le « fléchage » du produit des amendes et des astreintes prononcées par la CNIL afin de financer l’assistance apportée par l’Etat aux responsables de traitement et à leurs sous-traitants pour les aider à se conformer à la nouvelle réglementation (art. 6).