Loi numérique : la CNIL cherche le côté positif

Renforcement du montant des sanctions pécuniaires, création de droits permettant aux individus de mieux maîtriser leurs données personnelles… Quand bien même elle n’a pas obtenu entière satisfaction, la CNIL veut tirer un bilan positif du projet de loi « Pour une République numérique » sur lequel députés et sénateurs ont trouvé un accord le 29 juin dernier en commission mixte paritaire.

Le texte devrait être adopté ce 20 juillet par l’Assemblée nationale, le Sénat suivant à la mi-septembre, pour une promulgation au plus tard en octobre.

Bien qu’elle n’ait pas été suivie sur des éléments comme le contrôle des fichiers de police et de renseignement ou la possibilité d’être saisie par les parlementaires sur leurs propositions de loi, la CNIL évoque un « renforcement » de ses missions.

La commission a notamment obtenu la clarification souhaitée concernant sa saisine sur les projets de loi. Elle considérait que les textes actuels laissent place à des « interprétations divergentes », en particulier parce que la création d’un fichier par la loi n’est pas toujours regardée comme relevant de la « protection » des données personnelles.

Amendes salées ?

Concernant les sanctions pécuniaires, c’est mi-figue, mi-raisin.

La CNIL n’a, en l’occurrence, pas obtenu l’expression du montant en valeur et en pourcentage du chiffre d’affaires, comme elle l’avait recommandé en novembre dernier dans une série de « propositions législatives » (document PDF, 25 pages) et réaffirmé en janvier lors de la consultation confiée au Conseil national du numérique.

Elle se réjouit néanmoins d’une amende maximum portée de 150 000 à 3 millions d’euros en vertu du 2° a) et b) de l’article 8 du projet de loi Lemaire. Une anticipation du règlement européen, inscrit au Journal officiel de l’UE le 4 mai dernier et qui doit entrer en vigueur en mai 2018, avec un plafond à 20 millions d’euros ou, pour une entreprise, 4 % de son chiffre d’affaires mondial.

Autre motif de satisfaction : la possibilité, entérinée par l’ajout d’un article 49 bis dans la loi « Informatique et Libertés » du 6 janvier 1978, de communiquer, sur demande, des informations à une autorité exerçant des compétences analogues aux siennes dans un État non membre de l’Union européenne, « dès lors que celui-ci offre un niveau de protection adéquat des données à caractère personnel » (l’article 49 de la même loi habilitant la CNIL à réaliser ces démarches avec des homologues de l’UE).

Open data

La CNIL se félicite également de l’introduction, dans le projet de loi Lemaire, d’un droit à l’oubli spécifique aux mineurs assorti d’une procédure d’exercice accélérée. Elle n’en a toutefois pas obtenu l’inscription dans la loi « Informatique et Libertés ».

La CNIL aura par ailleurs davantage de missions, dont la promotion des technologies protectrices de la vie privée et l’organisation de débats sur « les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques ».

Sur l’ouverture des données, la commission est plus sceptique. Elle s’attachera à accompagner la démarche afin qu’elle soit « respectueuse de la vie privée ». Dans cette optique, une concertation sera lancée avec l’ensemble des acteurs concernés pour élaborer un « pack de conformité ». La CADA et la mission Etalab du SGMAP ont été sollicités dans ce cadre.

On relèvera aussi ce renforcement de la transparence à travers la publication automatique des avis de la CNIL sur les projets de loi et les décrets (article 8 et article 29 b), qui modifie l’article 11 de la loi du 6 janvier 1978). Cela ne s’appliquera cependant pas aux propositions de loi : le Sénat a écarté cette suggestion.

Crédit photo :