C. UNE RÉGLEMENTATION DES TRANSFERTS DE DONNÉES CONCILIANT PROTECTION DES PERSONNES ET IMPÉRATIFS ÉCONOMIQUES
1. La libre-circulation des données à l'intérieur de l'Union européenne
Le projet de loi, conformément à la directive, consacre la liberté de circulation des données à l'intérieur de l'Union européenne , les dispositions de la directive assurant un niveau de protection adéquat.
On rappellera brièvement que même en l'absence de transposition dans les délais requis, les personnes physiques et morales sont fondées à exiger de l'Etat, des personnes morales de droit public et des personnes morales de droit privé gérant un service public l'application à leur profit des dispositions de la directive, en vertu de son effet direct vertical.
A contrario , les personnes morales de droit public ne peuvent invoquer à l'encontre des autres personnes des dispositions de directives non encore transposées, pas plus que les personnes de droit privé ne peuvent en arguer face à d'autres personnes de droit privé (absence d'effet horizontal et d'effet vertical inversé).
2. La réglementation des transferts vers des Etats tiers
Le projet de loi encadre en revanche les transferts de données en direction des Etats tiers, ceux-ci n'étant possibles que si ces Etats assurent un niveau de protection « suffisant » (article 12 du projet).
On notera que la loi de 1994 sur la recherche en matière de santé exigeait une protection équivalente.
Des dérogations à cette exigence sont néanmoins prévues (article 69 nouveau) en cas de consentement des personnes ou de nécessités particulières (sauvegarde de la vie de la personne, intérêt public notamment).
La CNIL peut en outre autoriser des transferts , notamment si des clauses contractuelles particulières assurent la protection requise, mais s'agissant de traitements relevant de la souveraineté nationale, le transfert ne peut être autorisé que par un décret en Conseil d'Etat pris après avis motivé et publié de la CNIL.
Afin d'harmoniser la position des différents Etats membres au regard des transferts de traitements de données à caractère personnel vers des Etats tiers n'assurant pas un niveau de protection suffisant, la Commission européenne est appelée à jouer un rôle déterminant (article 70 nouveau) pour apprécier ce niveau.
Les autorités de contrôle nationales devront se conformer aux décisions de la Commission européenne et en l'absence de celles-ci, lui notifier les leurs , voire surseoir à statuer en cas de doute.
D. DES MODIFICATIONS PONCTUELLES DE CERTAINS RÉGIMES SPÉCIFIQUES
1. En matière de santé
Les régimes applicables aux traitements ayant pour fin la recherche dans le domaine de la santé (chapitre V bis de la loi du 6 janvier 1978 devenant le chapitre IX) et aux traitements mis en oeuvre pour évaluer les pratiques de soins et de prévention (chapitre V ter devenant le chapitre X) ne font l'objet que de modifications marginales et essentiellement formelles (articles 9 et 10 du projet).
Néanmoins, la principale innovation en matière de santé consiste dans l'inclusion dans la liste des données dites sensibles des données de santé (article 8 modifié de la loi), même si des dérogations à l'interdiction de traitement sont prévues en matière de recherche et d'évaluation des pratiques de soins et de prévention.
2. En matière de vidéo-surveillance
Des aménagements rédactionnels sont apportés à la loi du 21 janvier 1995 régissant les enregistrements visuels de vidéo-surveillance, (article 15 du projet).
3. En matière de journalisme et d'expression littéraire et artistique
Il est en outre inséré dans la loi du 6 janvier 1978 des dispositions relatives aux traitements ayant pour finalité le journalisme et l'expression littéraire et artistique, afin d'élargir les dérogations dont bénéficient ces traitements, notamment en matière de limitation de la durée de conservation des données et de droit d'accès et de rectification de la personne concernée (article 67 nouveau).
Le projet de loi, reprenant une disposition de la directive, offre la possibilité de dispenser de déclaration de traitements les organismes ayant désigné un délégué à la protection des données chargé de tenir un registre des traitements et d'effectuer un contrôle interne de l'application des dispositions de la loi du 6 janvier 1978 (article 11 du projet).
Si le projet de loi modifie donc profondément la loi du 6 janvier 1978, il n'est pas allé jusqu'à étendre aux personnes morales la protection dont bénéficient les informations nominatives, les enjeux étant différents : vie privée et liberté individuelle d'un côté, secret des affaires de l'autre.