RGPD – GDPR
L’Assemblée Nationale a adopté le 13 février dernier le projet de loi sur la protection des données personnelles.
Rappelons, que ce projet de loi est destiné à mettre le droit français en conformité avec le Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui entrera en application le 25 mai prochain (RGPD).[1]
La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a donc vocation à être modifiée et adaptée. C’est dans cette perspective que le projet de loi relatif à la protection des données personnelles a été adopté par l’Assemblée Nationale le 13 février 2018.[2]
Les dispositions suivantes méritent d’être soulignées :
- 15 ans : l’age de la « minorité numérique »
L’âge requis pour le consentement des mineurs au traitement de ses données personnelles est abaissé à 15 ans. Lorsque le mineur sera âgé de moins de 15 ans le « traitement [ne sera] licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard du mineur » (article 7-1 nouveau de la Loi 78-17).
Le RGPD et son article 8 fixe l’âge légal du consentement à 16 ans mais permet aux États Membres d’abaisser cet âge dès lors qu’il n’est pas inférieur à 13 ans.
- Renforcement des pouvoirs de la CNIL
Les pouvoirs de la CNIL sont renforcés (article 11 nouveau de la Loi 78-17) et, notamment, ses pouvoirs d’investigation. Les agents habilités pourront ainsi utiliser une identité d’emprunt afin de réaliser des investigations en ligne (article 44 nouveau de la Loi 78-17).
- Sanctions et amendes proportionnées et dissuasives
Conformément aux articles 83 et 84 du RGPD, la CNIL pourra infliger des amendes administratives pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’organisme ou de l’entreprise concernée (article 45 7° nouveau de la Loi 78-17).
La CNIL pourra, en outre, prononcer une injonction de mettre en conformité le traitement avec la réglementation Européenne et/ou française, sous « astreinte dont le montant ne [pourra] excéder 100.000, 00 euros par jour » (article 45 2°nouveau de la Loi 78-17).
- Action de groupe et droit à l’indemnisation du préjudice
Si l’action de groupe est possible depuis la loi de modernisation de la justice du 18 novembre 2016[3], elle ne peut toutefois tendre qu’à la seule cessation du ou des manquements, en ce sens que la demande d’indemnisation du préjudice est à ce jour exclue. C’est justement afin d’y remédier et d’intégrer la réparation des préjudices subis que l’article 43 ter nouveau de loi 78-17, envisagé aux termes du projet de loi, prévoit que l’action de groupe pourra « être exercée en vue soit de la cessation du manquement, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudicies matériels et moraux subis de ces deux fins ».
La prochaine étape est l’examen par le Sénat le 20 mars, le gouvernement ayant opté pour une procédure législative accélérée, en principe, il ne devrait y avoir qu’une seule lecture par Chambre.
Morgane LE LUHERNE Avocate Associée
[1]http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
[2]https://www.legifrance.gouv.fr/affichLoiPreparation.do;jsessionid=AD5660270AD9F70B94275AC823321680.tplgfr22s_3?idDocument=JORFDOLE000036195293&type=contenu&id=2&typeLoi=proj&legislature=15
[3] LOI n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle (1) https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=88EAE9B921E3955D7F3F16AFE4818886.tplgfr37s_2?idArticle=JORFARTI000033418921&cidTexte=JORFTEXT000033418805&dateTexte=29990101&categorieLien=id