Adoption de la réforme du droit des données personnelles

Aujourd’hui, 14 avril 2016, le Parlement européen a adopté en deuxième lecture le règlement sur la protection des données personnelles (Cf. fiche de procédure officielle). On se souvient que le premier projet de ce texte avait été présenté par la Commission début 2012. La réforme devrait entrer en vigueur deux ans après la publication définitive au Journal Officiel de l’Union européenne.

Jusqu’à présent, le droit positif français reposait sur la vénérable loi de 1978, telle que modifiée à la suite d’une directive d’harmonisation européenne. On ignore à ce jour comment procédera le législateur français. Le règlement sera d’application directe sans nécessiter de le transposer en droit interne. Dès lors, une loi d’abrogation de la loi de 1978 devrait en bonne logique être votée. Sans doute y aura-t-il nécessité de ne pas se contenter du texte du règlement, et ce pour plusieurs raisons. Tout d’abord, il faudra bien redéfinir les attributions de la CNIL. Ensuite, certaines dispositions du règlement appellent des compléments législatifs nationaux. Mais l’abrogation de la loi de 1978 ne devrait pas être totale, la CNIL annonçant dès à présent son maintien pour certaines catégories de traitement. Sur la forme, il faut enfin noter que le groupe de travail de l’article 29 (G29) disparaîtra au profit d’un Comité européen de la protection des données (CEPD).

Sur le fond, le règlement opère à la fois une réforme et une consolidation du droit antérieur. Les personnes physiques conserveront les prérogatives classiques : droit d’information, droit d’opposition, droit d’accès et de rectification, etc. Des nouveautés existent cependant, tel que le droit à la portabilité des données personnelles. Les critères de licéité des traitements de données personnelles ne sont pas bouleversés mais affinés. Dans la pratique, les changements tiennent surtout à la disparition des formalités préalables. Le responsable du traitement devra se tenir prêt à tout moment à justifier de la conformité du traitement à la loi. Certains traitements ne pourront être rendus licites qu’après étude d’impact préalable. Le régime juridique des données personnelles de personnes mineures est spécifié par le règlement. Voici pêle-mêle quelques points saillants du règlement.

David Lefranc