B. UNE EXPLOITATION MESURÉE DES « MARGES DE MANoeUVRE » OUVERTES PAR LE RGPDP
Ainsi que l'indique l'intitulé de son titre II, le projet de loi exploite certaines des quelque cinquante « marges de manoeuvre » ouvertes par le RGPDP.
Le champ d'application de ces règles nationales est limité aux personnes résidant en France, y compris lorsque le responsable du traitement n'y est pas établi. Dans le souci de protéger la liberté d'expression, et conformément à l'article 85.2 du RGPDP, il est toutefois renvoyé au droit national du responsable du traitement, dès lors que celui-ci est établi dans l'Union européenne, lorsque le traitement est réalisé à des fins journalistiques, universitaires, artistiques ou littéraires.
1. Un régime particulier révisé d'utilisation du numéro national d'identification des personnes
Les formalités préalables actuelles d'autorisation par décret en Conseil d'État des traitements utilisant le numéro national d'identification des personnes physiques (NIR) sont supprimées et il résulte de l'article 9 du projet de loi, qui réécrit l'article 22 de la loi de 1978, qu'un décret en Conseil d'État, pris après avis motivé et publié de la CNIL, déterminera les catégories de responsables de traitement utilisant le numéro national d'identification des personnes physiques (NIR) et les finalités admissibles de ces traitements. Sont toutefois exemptés de ces règles les traitements qui ont pour seules finalités la statistique publique, la recherche scientifique ou historique, sous réserve d'un traitement cryptographique préalable, ou encore la mise à disposition de téléservices par l'administration.
2. Des régimes particuliers pour certaines données dont le traitement répond à des objectifs d'intérêt général
Le projet de loi définit des règles particulières pour encadrer les traitements mis en oeuvre pour le compte de l'État intéressant la défense, la sûreté, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales (sans préjudice de la protection des droits des victimes), les traitements mis en oeuvre pour le compte de l'État qui portent sur des données génétiques ou biométriques d'identification des personnes ainsi que certaines catégories particulières de traitements portant par exemple sur les condamnations pénales et mesures de sûreté ou encore des données de santé.
Comme l'article 23 du règlement en prévoit la possibilité, il écarte dans certains cas le droit de la personne à la communication d'une violation de ses données pour tenir compte d'objectifs d'intérêt général (sécurité, défense, prévention et détection des infractions...), et ce dans les limites autorisées par le règlement, pour des traitements dont la liste sera fixée par décret en Conseil d'État, après avis de la CNIL.
3. Des règles plus protectrices pour certaines catégories de données
Le projet de loi complète les dispositions particulières plus protectrices qui s'appliquent à certaines catégories de données en reprenant les exceptions admises par le règlement européen, par exemple le traitement des données biométriques aux fins d'identifier une personne physique de manière unique et celui de données génétiques.
Ces règles particulières s'appliquent y compris pour les traitements ne relevant pas du droit de l'Union européenne.
4. Des règles adaptées pour les traitements à des fins archivistiques ou de recherches historiques
Comme l'autorise l'article 89 du règlement, l'article 36 de la loi de 1978 est complété par l'article 9 du projet de loi pour faciliter et encadrer les traitements de données à des fins archivistiques ou de recherches historiques. Les conditions et garanties appropriées seront précisées dans le code du patrimoine.
L'article 36 de la loi de 1978 est en outre complété par l'article 12 du projet de loi pour ouvrir une faculté dérogatoire d'écarter les droits des personnes concernées (droit d'accès, de rectification, de limitation du traitement, de portabilité et d'opposition) lorsque ces droits rendent impossibles ou entravent sérieusement la réalisation des finalités spécifiques de ces traitements et où de telles dérogations sont nécessaires pour atteindre ces finalités.
5. Un régime ad hoc pour les données de santé
Le projet de loi reprend la définition des données de santé figurant dans le règlement qui en élargit le champ à toutes les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, et qui révèlent des informations sur l'état de santé de cette personne.
Il comporte un dispositif général, au sein d'un chapitre IX, régissant les traitements portant sur l'ensemble des données de santé, qui présentent une finalité d'intérêt public (section I) et un dispositif spécifique couvrant le cas particulier des traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé (section II).
Dans la logique du RGPDP, le projet de loi fait de la déclaration de conformité aux référentiels, aux méthodologies de référence et du respect des règlements types, le principe, et de l'autorisation préalable par la CNIL, l'exception. Dans le régime de l'exception, il prévoit, pour les traitements dont les finalités de recherche ne sont pas encore identifiées, la saisine de l'Institut national des données de santé (INDS) par la CNIL ou son auto-saisine pour évaluer l'intérêt public du traitement. S'il maintient le délai de deux mois dans lequel la CNIL doit se prononcer, il en modifie la portée puisque l'absence de décision vaudrait désormais accord implicite, ce qui constitue une avancée pour les acteurs économiques.
La CNIL établira en la matière, en concertation avec l'INDS et des représentants des professionnels, des référentiels et des règlements-types pour faciliter la tâche des professionnels de santé. En particulier, elle précisera les modalités de recueil du consentement des personnes qui constitue l'un des éléments clés du RGPDP.
6. La possibilité pour l'administration de recourir à des décisions individuelles automatisées
Afin d'adapter les droits des personnes à un environnement administratif dématérialisé et ainsi que l'autorise l'article 22 du règlement, l'article 14 du projet de loi prévoit que l'article 10 de la loi de 1978 autorise l'administration à recourir plus largement à des décisions automatisées en fonction d'un algorithme, dès lors qu'elle offre des garanties aux administrés en matière d'information, de droits de recours et de maîtrise par le responsable du traitement.