La CNIL a rendu le 30 novembre 2017 la délibération 2017-299 portant avis sur un projet de loi d’adaptation au droit de l’Union européenne de la loi n°78-17 du 6 janvier 1978, qui permettra « la mise en œuvre concrète du RGPD ».
De manière générale, la CNIL souligne que, sur le fond, le projet de modification de la loi du 6 janvier 1978 remplit globalement l’objectif principal qui lui était assigné, à savoir adapter le droit français au nouveau cadre européen pour en assurer la pleine effectivité pour les citoyens et les opérateurs.
La CNIL se félicite également de ce que le projet de loi mobilise judicieusement les marges de manœuvre ouvertes aux Etats par le RGPD et soit en pleine cohérence avec la logique sous-tendant la démarche européenne.
Le RGPD comporte en effet plus d’une cinquantaine de renvois au droit national, permettant aux Etats membres de maintenir des formalités préalables à certains traitements, de poser des règles de fond propres ou de moduler les garanties offertes aux personnes. Il appartient au législateur national, selon la CNIL, de se prononcer sur chacun de ces points, en décidant si et dans quelle mesure il souhaite faire usage de ces marges.
Si, sur certains points, la CNIL affirme pouvoir exprimer une appréciation divergente et proposera de positionner différemment le curseur, elle tient à souligner que, de manière globale, le projet de loi lui semble faire un usage raisonnable de ces marges, ne conservant une spécificité nationale que par exception, dans les cas qui le justifient absolument. Il s’inscrit ainsi pleinement dans la logique du Règlement, cadre unique et harmonisé pour l’ensemble des citoyens et opérateurs de l’espace européen.
Cependant, la CNIL attire l’attention sur trois limites notables :
D’une part, elle déplore d’avoir été saisie de manière tardive du projet de loi et de n’avoir en conséquence pas disposé du délai nécessaire à l’examen, dans des conditions acceptables, d’un texte d’une telle portée. Ce retard est d’autant plus fâcheux aux yeux de la CNIL que, selon elle, la mise en œuvre effective des mécanismes de coopération prévus par le Règlement peuvent être compromis en l’absence de textes nécessaires. Il y aurait également un enjeu de crédibilité politique pour la France, qui a promu ces nouveaux instruments aux niveaux national et européen.
Ensuite, la CNIL dénonce le défaut de lisibilité de l’état du droit résultant du projet de loi. Si elle considère que l’adoption conjointe du RGPD et de la Directive (UE) 2016/680 était inévitable, elle constate que ce premier degré de complexité est aggravé par le choix du Gouvernement de n’opérer que les modifications strictement indispensables à la mise en œuvre du RGPD et de la Directive, tout en renvoyant la réécriture d’ensemble de la loi de 1978 à une ordonnance ultérieure.
Enfin, la CNIL regrette que, compte tenu notamment du calendrier retenu, le projet de loi constitue à certains égards une occasion manquée de procéder à un réexamen global du droit de la protection des données en France, de compléter le dispositif législatif sur certains points et d’approfondir les droits des personnes pour les traitements entrant dans le champ de la Directive ainsi que pour ceux situés en dehors du champ du droit de l’Union.