La CNIL a rendu le 30 novembre 2017 son avis sur le projet de loi relatif à la protection des données personnelles, alias le RGPD, le Règlement européen sur la Protection des Données Personnelles (RGPD) applicable le 25 mai 2018. Ce texte permettra la mise en œuvre concrète du Règlement européen et de la Directive du 27 avril 2016.
Le projet de loi préparé par le gouvernement pour adapter le droit français au nouveau cadre européen va permettre l’application effective des textes européens sur la protection des données personnelles. Rappelons que les entreprises devront être conformes au Règlement sur la Protection des Données Personnelles (RGPD) le 25 mai 2018.
Certes, la CNIL salue cette nouvelle étape dans un avis rendu public en ligne et se félicite « de ce que le projet de loi mobilise de manière judicieuse les « marges de manœuvres » ouvertes aux Etats par le Règlement. Elle précise dans un communiqué de presse que le projet de loi ne maintient « des dérogations nationales que lorsque celles-ci sont réellement justifiées, notamment en matière de données de santé. »
Certes, elle se félicite également « de la prise en compte de ses observations sur de nombreux points, en particulier ayant pour objet de préciser l’étendue de ses pouvoirs de contrôle et les modalités de réalisation d’opérations conjointes avec d’autres autorités européennes, de compléter les pouvoirs de sa formation restreinte afin de garantir le respect des droits des personnes, ou de clarifier les conditions de traitement des données biométriques. »
La CNIL déplore d’avoir été saisie aussi tardivement du projet
Mais la Commission exprime également d’importants regrets. Elle regrette que d’autres propositions n’aient pas été retenues comme l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives, ou encore l’adaptation de ses procédures pour lui permettre de faire face à l’augmentation d’activité liée au nouveau cadre européen. De façon générale, le projet de loi est pour elle « une occasion manquée » d’aller plus loin, de « procéder à un réexamen global du droit de la protection des données en France, de compléter le dispositif législatif sur certains points » . La Commission dénonce aussi « le défaut de lisibilité de l’état du droit résultant du projet de loi. » Enfin, la Cnil relève le retard pris dans la préparation de ce projet de loi. « Si elle a été associée en amont, par le ministère de la Justice, aux réflexions sur cette entreprise législative, elle déplore d’avoir été saisie aussi tardivement du projet et de ne pas avoir disposé du délai nécessaire à l’examen, dans des conditions acceptables, d’un texte d’une telle portée », indique-t-elle dans son avis. Et elle appelle, « de toute urgence », à l’adoption de l’ordonnance prévue pour la réécriture du droit français de la protection des données. « Tenir ce calendrier n’est pas seulement un enjeu juridique : il s’agit d’un enjeu opérationnel majeur, la mise en œuvre effective des mécanismes de coopération prévus par le Règlement pouvant être compromise en l’absence de textes nécessaires, ainsi que d’un enjeu de crédibilité politique tant la France, par la voix notamment de la Commission a, aux niveaux national et européen, promu ces nouveaux instruments« , prévient la Commission.
