Gouvernance
Impact de la loi pour une République numérique sur le droit des données personnelles
Par La rédaction, publié le 02 mars 2017
Parallèlement à la récente adoption du Règlement européen général sur la protection des données (RGPD), applicable en mai 2018, la loi n° 2016-1321 pour une République numérique a été promulguée le 7 octobre 2016. Parmi ses 115 articles, tour d’horizon des principales dispositions à retenir qui renforcent la protection des données personnelles.
Des nouvelles mentions d’information obligatoires. Par anticipation sur le RGPD, l’article 32 de la loi Informatique et Libertés est modifié. Il convient désormais d’informer les personnes dont les données sont collectées sur « la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée ». De même, les personnes doivent être informées de leur nouveau droit d’organiser le sort de leurs données personnelles après leur décès et ainsi de définir des directives anticipées relatives à leur conservation, effacement et communication.
Un droit à l’oubli numérique spécifique aux mineurs. Toute personne dont les données ont été collectées alors qu’elle était mineure, pourra demander leur effacement, sans autre justification que son âge au moment de la collecte. En cas d’inexécution de la demande par le responsable de traitement ou d’absence de réponse dans un délai d’un mois, la personne concernée pourra saisir la Cnil. La loi apporte ainsi une garantie particulière aux mineurs à l’instar des dispositions du RGPD qui instaurent un droit à l’effacement des données personnelles pour six motifs précis.
RENFORCEMENT SIGNIFICATIF DU RÔLE DE LA CNIL
Tout d’abord, la loi entérine la volonté d’associer la Cnil au processus d’adoption des dispositions touchant aux données personnelles. Elle devra désormais être saisie sur tout projet de loi ou de décret relatif en tout ou partie aux données personnelles et ses avis seront rendus publics. La loi lui confère également un rôle de promotion de l’utilisation des technologies protectrices de la vie privée et notamment de chiffrement, ainsi que celui de certifier la conformité à la loi de processus d’anonymisation des données personnelles. Ensuite, la loi réforme la procédure de sanction. Elle impose une mise en demeure préalable avant toute sanction, y compris un avertissement. Cette mise en demeure préalable n’aura cependant pas lieu d’être lorsque le manquement constaté ne peut pas faire l’objet d’une mise en conformité. Actuellement de 5 jours, le délai dans lequel le responsable du traitement doit faire cesser son manquement en cas d’extrême urgence est réduit à 24 heures. Enfin, la Cnil pourra désormais ordonner que les responsables de traitement informent individuellement de cette sanction, à leur frais, chacune des personnes concernées. Par ailleurs, la loi prévoit une hausse considérable du montant des amendes pouvant être prononcées par la Cnil, qui est porté de 150 000 € (pour une première violation) à 3 M€. Il convient néanmoins de noter que le RGPD élèvera encore ce plafond qui pourra aller jusqu’à 20 M€ ou, pour les entreprises, à 4 % de son chiffre d’affaires annuel mondial.
CE QU’IL FAUT RETENIR
La loi pour une République numérique renforce la protection des données à caractère personnel. Elle anticipe la transposition du RGPD de manière significative en introduisant de nombreuses dispositions directement applicables que les sociétés doivent dès à présent appréhender en opérant des audits de conformité de leurs traitements et les modifications qui s’imposent.