Après plusieurs allers-retours entre l’Assemblée nationale et le Sénat ainsi qu’un passage en Commission mixte paritaire, le projet de loi relatif à la protection des données personnelles a été adopté définitivement par l’Assemblée nationale le lundi 14 mai 2018.
Le projet de loi relatif à la protection des données personnelles a pour objet d’adapter la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ou loi « Informatique et libertés ») au droit de l’Union européenne, et notamment au RGPD ainsi qu’à la directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.
S’agissant des traitements de données à caractère personnel en matière pénale, le projet de loi « renforce les droits des personnes en créant un droit à l’information et en prévoyant l’exercice direct de certains droits tels que les droits d’accès, de rectification et d’effacement des données » (communiqué de presse du Conseil des ministres du 13 décembre 2017).
Il introduit également « des règles encadrant les transferts de données à des États tiers. Le Gouvernement a enfin fait le choix de conserver, dans un souci d’intelligibilité, l’architecture de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés » (communiqué de presse du Conseil des ministres du 13 décembre 2017).
Ce projet de loi maintien en partie le régime d’autorisation, en prévoyant l’obligation d’obtenir une autorisation préalable de la CNIL concernant les traitements contenant des données concernant la santé des personnes. Cette autorisation ne sera pas nécessaire s’agissant des traitements conformes aux référentiels établis par la CNIL en concertation avec l’Institut national des données de santé.
Le projet de loi offre de plus la possibilité aux mineurs de quinze ans ou plus de consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe des services de la société de l’information. Lorsque le mineur est âgé de moins de quinze ans, le traitement ne sera licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur.
Le texte prévoie également qu’un décret en Conseil d’Etat pris après avis motivé et publié de la CNIL déterminera les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu’ils portent sur des données comportement le numéro d’inscription des personne au répertoire national d’identification des personnes physiques (NIR).
Le processus législatif n’est toutefois pas encore complètement achevé, le Conseil constitutionnel ayant été saisi de cette loi par 60 sénateurs, le 16 mai dernier.