B. UNE UTILISATION MESURÉE DES MARGES DE MANoeUVRE MÉNAGÉES PAR LE RGPD (TITRE II)

Le champ d'application territorial des règles françaises adaptant ou complétant le règlement est précisé et repose essentiellement sur un critère de résidence - sauf dans le cas de certains traitements mettant en jeu la liberté d'expression et d'information - (article 8) et les sous-traitants sont soumis à des obligations identiques à celles des responsables de traitement (article 10).

1. Le maintien de régimes spécifiques et de formalités préalables pour certains traitements

La plupart des régimes de déclaration préalable ou d'autorisation sont supprimés (article 9), sauf dans certains cas particulièrement sensibles, notamment pour l'utilisation du numéro de sécurité sociale (« NIR ») ou de données biométriques ou génétiques par l'État. Des dispositions spécifiques sont en outre prévues pour encadrer certaines catégories particulières de traitement - condamnations pénales (article 11), archives (article 12), données de santé (article 13) - ou certains droits : décisions administratives prises sur le fondement d'algorithmes (article 14), dérogation à l'obligation de divulgation des failles en cas de risque pour la sécurité nationale, la défense nationale ou la sécurité publique (article 15).

2. La facilitation des actions en justice : action de groupe et réparation des dommages

S'agissant des voies de recours devant la CNIL ou devant les juridictions en cas de violation des obligations incombant aux responsables de traitement, le texte ouvre la possibilité de les exercer par l'intermédiaire d'un mandataire (article 16).

L'Assemblée nationale a également étendu l'objet de l'action de groupe en matière de données personnelles créée par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXI e siècle . Elle permettrait dorénavant non plus seulement d'obtenir la cessation d'un manquement, mais aussi d'engager la responsabilité du responsable de traitement ou de son sous-traitant, en vue d'obtenir la réparation des préjudices matériels et moraux subis (article 16 A).

3. La protection spécifique des données à caractère personnel des enfants

Fixé à 16 ans dans le projet initial, comme le prévoyait par défaut le règlement européen, l'âge à partir duquel un mineur peut consentir seul au traitement de ses données concernant l'offre directe de services de la société de l'information a été abaissé à 15 ans par les députés (article 14 A). Sont prévues également la nécessité d'un double consentement (des parents et du mineur) en dessous de cet âge, l'obligation pour les responsables de traitement d'une information des mineurs dans des termes adaptés à leur âge (article 14 bis ), et une sensibilisation à la protection des données personnelles dans le cadre de l'Éducation nationale (article 13 bis ).

4. L'autorisation des décisions administratives individuelles fondées sur des algorithmes

Réaffirmant, conformément à l'article 22 du règlement, l'interdiction de principe des décisions produisant des effets juridiques et fondées exclusivement sur des traitements automatisés de données personnelles, le projet de loi tend à instituer une dérogation pour les décisions administratives individuelles, à condition qu'elles ne se fondent pas sur le traitement de données dites « sensibles » et sous réserve des garanties prévues par le code des relations entre le public et l'administration (article 14).

5. Un meilleur contrôle des transferts hors Union européenne

Faisant suite à une décision de la Cour de justice de l'Union européenne, le projet de loi ouvre à la CNIL une voie de recours pour s'opposer au transfert de données vers un État tiers qu'elle estimerait insuffisamment protecteur des données personnelles. La CNIL pourrait ainsi saisir le Conseil d'État aux fins d'ordonner la suspension du transfert, et demander à celui-ci d'adresser à la Cour de justice de l'Union européenne une question préjudicielle en vue d'apprécier la validité d'une décision dite « d'adéquation » prise par la Commission européenne - décision par laquelle la Commission aurait estimé que l'État en question offrait un niveau de protection suffisant - et des autres actes pris par la Commission relativement aux « garanties appropriées » offertes par le responsable de traitement pour justifier le transfert (article 17).

6. Des renvois en miroir entre droit national et droit européen

L'importance des conditions de recueil du consentement est réaffirmée par un renvoi de la loi vers l'article du règlement qui les fixe (article 14 AA), tandis que sont supprimées les dispositions du code de la consommation relatives à la portabilité des données jugées satisfaites par celles, d'application directe, prévues dans le règlement (article 20 bis ).

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page