On n’y croyait plus mais le gouvernement a déposé au Parlement le projet de loi relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel ce 11 juin 2018 !
Ce projet de loi (à partir de la page 457 du document précité):
1) transpose la directive 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données ;
2) met en œuvre, pour les clauses ouvertes, le règlement 2016/679 du 27 avril 2016 (RGPD) ;
3) prévoit des régimes dérogatoires pour les autorités et les traitements hors champ d’application du droit de l’UE (par exemple les services de renseignement et de sécurité).
Dans cette actualité, nous nous limiterons à évoquer en 10 points quelques mises en œuvre du RGPD :
1. Autorité publique
La définition d’autorité publique (article 5) est reprise de la loi du 4 mai 2016 relative à la réutilisation des informations du secteur public tout en étant élargie aux entités fédérées et autorités locales. Il s’agit donc de :
1° l’état fédéral, les entités fédérées et les autorités locales;
2° les personnes morales de droit public qui dépendent de l’État fédéral, des entités fédérées et des autorités locales;
3° les personnes, quelles que soient leur forme et leur nature qui:
— ont été créées pour satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial; et
— sont dotées d’une personnalité juridique; et
— dont soit l’activité est financée majoritairement par les autorités publiques ou organismes mentionnés au 1° ou 2°, soit la gestion est soumise à un contrôle de ces autorités ou organismes, soit plus de la moitié des membres de l’organe d’administration, de direction ou de surveillance sont désignés par ces autorités ou organismes;
4° les associations formées par une ou plusieurs autorités publiques visées au 1°, 2° ou 3°.
2. Majorité digitale
L’article 7 du projet réduit le seuil de la majorité digitale de 16 à 13 ans. Il sera donc possible pour un enfant de consentir seul au traitement de ses données dans le cadre de services de la société de l’information, tels que Facebook, à partir de 13 ans.
3. Données de santé
En vertu de l’article 9 du projet, « le responsable du traitement doit prendre les mesures supplémentaires suivantes lors du traitement de données génétiques, biométriques ou des données concernant la santé:
1° les catégories de personnes, ayant accès aux données à caractère personnel, doivent être désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées;
2° la liste des catégories des personnes ainsi désignées doit être tenue à la disposition de l’autorité de contrôle compétente ou, le cas échéant, par le sous-traitant;
3° il doit veiller à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées ».
4. Données pénales
Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions pénales ou aux mesures de sûreté connexes est autorisé, sur le pied de l’article 10 du projet :
« 1. par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l’exige; ou
2. par des avocats ou d’autres conseils juridiques, pour autant que la défense de leurs clients l’exige;
…
Le responsable du traitement et, le cas échéant, le sous-traitant établit une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l’autorité de contrôle compétente.
Le responsable du traitement et, le cas échéant, le sous-traitant veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.»
5. Enquêtes et poursuites
Le titre I, chapitre III du projet prévoit des dérogations aux droits des personnes concernées en cas d’enquête pénale ou des services de la Sureté.
6. Autorités publiques fédérales
En vertu de l’article 20 du projet, l’autorité publique fédérale qui transfère des données à caractère personnel à toute autre autorité publique, ou organisation privée, doit formaliser cette transmission pour chaque type de traitement par un protocole entre le responsable du traitement initial et le responsable du traitement destinataire des données. Le protocole est publié sur le site internet des responsables du traitement concernés.
Lorsque le traitement de données à caractère personnel peut engendrer un risque élevé tel que visé par l’article 35 du RGPD,
- en vertu de l’article 23 du projet, une analyse d’impact spécifique de protection des données doit être effectuée avant l’activité de traitement, même si une analyse d’impact générale relative à la protection des données a déjà été réalisée dans le cadre de l’adoption de la base légale,
- en plus de devoir réaliser cette analyse d’impact, en vertu de l’article 22 du projet, l’autorité publique fédérale doit demander préalablement au traitement l’avis du délégué à la protection des données.
7. Sous-traitants des autorités publiques fédérales
Lorsque ce même risque élevé est rencontré, en vertu de l’article 21 du projet, un organisme privé qui traite des données à caractère personnel pour le compte d’une autorité publique fédérale ou d’un organisme public fédéral ou à qui une autorité publique fédérale ou un organisme public fédéral a transféré des données à caractère personnel doit désigner un délégué à la protection des données. Les hypothèses seront donc plus nombreuses que pour un sous-traitant qui se voit confier des données du secteur privé. Pour rappel, ce dernier ne doit délégué à la protection des données qu’en cas de suivi régulier et systématique à grande échelle des personnes concernées, ou en cas de traitement à grande échelle de données particulières.
8. Journalisme et art
Des dérogations au RGPD sont prévues, au chapitre V du projet, pour les traitements à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraires.
9. Sanctions
L’article 221 du projet, malgré les critiques émises sur cette disposition de l’avant-projet, exonère les autorités publiques et leurs préposés ou mandataires des amendes administratives !
Des sanctions pénales sont réintroduites, pour tous, par les articles 222 et s., dans le régime de protection.
10. Conflit de lois
En vertu de l’article 251 du projet, en cas de traitement de données à caractère personnel pour plusieurs finalités par un même responsable du traitement ou sous-traitant, ou visées par différentes législations, ces différentes législations s’appliquent de manière simultanée. En cas de conflit entre certaines de leurs dispositions, les règles de la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel sont appliquées.
Notre conseil :
Le document ici évoqué fait 864 pages avec le projet, son exposé des motifs, les différents avis et analyse d’impact dont il a fait l’objet.
Nous reviendrons plus en détail sur ces dispositions une fois celles-ci adoptées par le Parlement et quand nous aurons pu les examiner plus minutieusement.
Au vu de son impact pratique, il convient pour tous les responsables du traitement et sous-traitant de suivre l’évolution législative de ce projet de loi.