Réforme de la Loi Informatique et Libertés

3 questions à Xavier LECLERC, Consultant - Cabinet ANAXIL, Co-fondateur et Vice-Président d'Honneur de l'AFCDP

1- Pourquoi cette réforme est-elle nécessaire ?

Cette réforme était plus que nécessaire, notamment pour une harmonisation Européenne. En effet, la directive de 1995 a été transposée différemment selon les pays alors que le Règlement s'impose. L'objectif de définition d'une stratégie numérique européenne pour un marché numérique unique ainsi que les révélations sur le programme de surveillance de la NSA « PRISM » justifient le caractère nécessaire de cette réforme.

La directive européenne du 24 octobre 1995 relative à la protection des personnes physiques par rapport au traitement des données personnelles et à la libre circulation de ces données est le fondement commun aux pays de l'Union Européenne dans le domaine de la protection des données à caractère personnel. Elle a été transposée en droit français par la loi du 6 Août 2004.

Tout d'abord, cette directive pose la définition d'une donnée personnelle. Elle regroupe des notions telles que la qualité d'une donnée, le caractère légitime de son exploitation, le droit d'accès de personnes aux données les concernant, les types de données qu'il est autorisé de récolter, l'accord des personnes concernées par ces données ou le droit d'opposition, le caractère confidentiel des données et la sécurité des opérations de traitement...etc.

Le G29, groupe de travail instauré par la directive, regroupe l'ensemble des CNIL de l'Union Européenne. Il est chargé de participer à l'élaboration des normes européennes et joue aussi le rôle de conseiller de la Commission Européenne dans le cas de projets relatifs au traitement de données à caractère personnel et touchant les droits et libertés de personnes physiques.

2- Quels sont les grands axes de la réforme?

Cette réforme apporte un grand nombre de changements et de notions nouvelles dont le Data Protection Officer, la portabilité des données personnelles, la minimisation des données, l'accountability (documentation), les EIVP (Etudes Impact Vie Privée), le consentement préalable renforcé, le guichet unique que représenteront les autorités de contrôle nationales, ainsi que des sanctions lourdes en cas de transgressions (5% CA groupe)...

Tout d'abord, les entreprises auront l'obligation d'engager un « Data Protection Officer » (DPO) ou « Délégué à la protection des données » selon des critères qui seront fixés prochainement. De plus, elles seront dans l'obligation d'informer  l'autorité de contrôle nationale en cas de failles de sécurité relatives à des données personnelles, dans un délai de 24 heures ou du moins dans les meilleurs délais. 

Aussi, il est prévu de faciliter le transfert des données à caractère personnel ainsi que l'accès des personnes concernées par ces données (portabilité des données).

Il sera aussi question de faire de l'autorité nationale de protection des données personnelles l'interlocuteur ou « guichet unique » des organisations et des citoyens également.  Par ailleurs, toute personne devra consentir explicitement à autoriser l'exploitation de ses données personnelles, quand ce consentement est requis, il ne pourra être supposé.

Une autre nouveauté serait le droit à l'oubli numérique qui consiste à donner aux citoyens le pouvoir de demander la suppression de données qui les concerne s'il n y a point de motif légitimant leur conservation.

Les autorités nationales responsables de la protection des données personnelles (CNIL) devraient aussi avoir plus de pouvoir, leur permettant ainsi de mieux veiller à la conformité des organismes à la réglementation en vigueur. Elles pourront notamment infliger des sanctions plus ou moins lourdes sous forme d'amende susceptibles d'atteindre 5% du Chiffre d'Affaires annuel global du groupe.

3- Quel est l'effet escompté de cette réforme ?

Tout d'abord, une meilleure protection des données personnelles et de la vie privée grâce à une autorégulation renforcée des Responsables de traitement. De plus, les « Data Protection Authorities » ou Autorités de contrôle des données auront plus de moyens de sanction ce qui aura pour conséquence une meilleure gestion du risque...