Le règlement général sur la protection des données sera directement applicable dans le droit français à compter du 25 mai 2018. Avant cette date, il est nécessaire d’abroger les dispositions de droit français incompatibles avec le règlement et celles qui lui sont redondantes et d’adopter de nouvelles mesures pour le compléter lorsqu’il ne peut s’appliquer directement.
Le règlement général sur la protection des données (RGPD) n° 2016/679 est en principe applicable directement dans l’ensemble des Etats membres de l’Union à compter du 25 mai 2018, sans nécessiter de transposition en droit national.
Toutefois, le texte final du RGPD est le résultat d’un compromis, mêlant des dispositions harmonisées à de multiples renvois aux droits nationaux (une cinquantaine), ce qui en fait un règlement sui generis, laissant de nombreuses marges de manœuvre aux États membres. Le Gouvernement français a en effet identifié 56 renvois au droit national prévus par le RGPD. A titre d’exemple, Le règlement prévoit la faculté pour les États membres d’adopter des dispositions nationales autorisant des actions collectives avec mandat tendant à la réparation du préjudice subi. Or, la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle a introduit une action collective permettant d’obtenir la cessation du manquement, mais pas en réparation collective du préjudice subi. La question d’un éventuel élargissement du champ de l’action de groupe devra donc être tranchée par le législateur français selon les rapporteurs.
Par ailleurs, l’application du RGPD à partir du 25 mai 2018 rend nécessaire l’abrogation de dispositions de droit interne incompatibles ou redondantes avec ce dernier. Ce travail a été initié avec la loi pour une République numérique du 7 octobre 2016, qui a pris en compte la problématique de la protection des données personnelles, sans pour autant couvrir l’ensemble du champ du RGPD. Certaines de ses dispositions visent à anticiper l’application du règlement (droit à l’oubli numérique des mineurs), tandis que d’autres ont été adoptées à titre transitoire (renforcement des sanctions prononcées par la CNIL) ou traitent de sujets connexes (données des personnes décédées, portabilité des données n’ayant pas un caractère personnel). Mais les rapporteurs relèvent que de nombreux points restent en suspens, notamment l’interprétation à donner à certains concepts introduits par le RGPD (ex : notion de risque élevé). Les rapporteurs considèrent que les avis du G29 à paraitre courant 2017 seront essentiels à ce sujet. D’autre part, les rapporteurs relèvent notamment que la mise en œuvre des deux régimes de droit à la portabilité des données (personnelles / non personnelles) risque de poser des difficultés d’interprétation et souhaitent que leur articulation puisse être clarifiée.
Les rapporteurs concluent leur rapport sur le calendrier législatif, qui s’annonce particulièrement serré. Avec l’interruption pour cause d’élection des travaux parlementaires jusqu’en juin 2017, la révision de la loi Informatique & Liberté devra être initiée dès le début de la prochaine législature afin qu’un texte définitif puisse être adopté avant la fin de l’année 2017, compte tenu du temps nécessaire pour édicter les éventuels décrets d’application.
