II. LE PROJET DE LOI : RÉVISION DE LA LOI FONDATRICE DE 1978, EXPLOITATION DE CERTAINES DES MARGES DE MANoeUVRE DU RGPDP ET TRANSPOSITION DE LA DIRECTIVE SUR LES TRAITEMENTS DE DONNÉES PÉNALES
Le projet de loi modifie pour l'essentiel la loi fondatrice du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin de la mettre en cohérence avec le RGPDP, qui se substitue dorénavant à nombre des dispositions de celle-ci, tout en maintenant des dispositions particulières à certaines catégories de données, et la directive (UE) 2016/680 sur les traitements en matière pénale. Le titre II regroupe les dispositions qui s'inscrivent dans les marges de manoeuvre ouvertes par le règlement aux législateurs nationaux. Enfin le titre III modifie les dispositions relatives aux traitements de données à des fins de prévention, de détection et de traitement d'infractions pénales, conformément à la directive.
A. L'AMÉNAGEMENT ET LE RENFORCEMENT DES POUVOIRS ET DES COMPÉTENCES DE LA CNIL
Le projet de loi désigne la CNIL en qualité d'autorité nationale de contrôle chargée de veiller à l'application du règlement et de la directive. Il adapte ses pouvoirs et compétence en fonction de ce que prévoient les deux textes européens.
1. Le renforcement des pouvoirs de contrôle a posteriori
Les pouvoirs de contrôle des membres et agents de la CNIL dans l'exercice des missions que leur confie le règlement, leur droit d'accès à tous les locaux à usage professionnel ou non, à l'exclusion des parties affectées au domicile privé, sont modifiés conformément au RGPDP. Les garanties entourant ces contrôles sont maintenues et le texte introduit, conformément au règlement, les exceptions tirées du secret liant l'avocat à son client, du secret des sources journalistiques et du secret médical. Enfin, il autorise les agents de la CNIL à utiliser des identités d'emprunt sur les réseaux dans le cadre des contrôles qu'ils effectuent.
2. L'interlocuteur du citoyen en cas de réclamation transfrontière
La liberté laissée par le règlement aux législations nationales en matière d'organisation de la coopération entre les autorités de contrôle est très réduite.
L'article 5 du projet de loi précise, comme l'avait souhaité le Sénat, que la CNIL reste compétente pour recevoir une réclamation affectant par ailleurs d'autres États membres même si elle n'est pas chef de file de la coopération. Il prévoit en outre que, lors de la mise en oeuvre de la coopération organisée par les articles 60 à 67 du règlement, les agents européens missionnés par les autres autorités nationales doivent être habilités par le président de la CNIL s'ils participent à des contrôles sur le territoire français (ce qui les place sous l'autorité de la CNIL), et que les contrôles auxquels ils procèdent s'effectuent dans le cadre légal français. Le projet de loi précise également que ces agents n'interviennent pas dans la procédure de coopération concernant les fichiers de souveraineté qui ne relèvent pas du RGPDP.
3. L'élargissement de la faculté de prononcer des astreintes
Les dispositions de la loi de 1978 relatives aux mesures et sanctions susceptibles d'être prises, selon le cas, par le président ou la formation restreinte de la CNIL, sont réécrites pour permettre à l'autorité de contrôle de prendre les mesures correctrices prévues par le règlement et la directive et compléter celles déjà existantes.
En outre, dans la mesure où l'article 84 du règlement et l'article 57 de la directive permettent de prévoir des sanctions supplémentaires dès lors qu'elles sont proportionnées et dissuasives par rapport à l'objectif de mise en conformité aux obligations des responsables de traitement, le projet de loi permet à la CNIL d'assortir d'une astreinte l'injonction faite à un responsable de traitement de se mettre en conformité avec la loi ou le RGPDP, ou de satisfaire aux demandes présentées par une personne concernée en vue d'exercer ses droits. Il retient par ailleurs la faculté prévue par l'article 83.7 du règlement de prévoir des amendes administratives quand un traitement est mis en oeuvre par l'État, dans la limite de 10 millions d'euros.
4. La faculté de retirer certaines décisions
Le projet de loi complète les pouvoirs de la CNIL en introduisant la possibilité, non prévue par le règlement, de retirer la décision d'approbation d'une règle d'entreprise contraignante lorsque la CNIL constate, sans visée répressive, que les conditions légales ne sont objectivement plus remplies.
Il prévoit également qu'en cas de manquement à ses obligations commis par un organisme de certification ou un organisme chargé de veiller au respect d'un code, de non-respect du RGPDP ou de la loi de 1978, la CNIL puisse lui retirer son agrément.