[data] RGPD-GDPR la (future) loi « Informatique et Libertés V3 » en mark-up à jour du PJL 13 décembre 2017

[mis à jour le 25 janvier 2018 sur l’encadrement des données de santé] Le RGPD-GDPR entre en vigueur officiellement dans l’Union Européenne le 25 mai 2018. Dans 5 4 mois. Un nombre important d’options sont ouvertes pour les Etats de l’UE. Il était aisé de deviner que la France ne ferait pas l’économie d’un « toilettage » de sa loi historique n°78-17 du 6 janvier 1978 « relative à l’informatique, aux fichiers et aux libertés »… Et bien voilà, le Gouvernement vient de rendre public son projet de future loi « Informatique et Libertés ». Il était temps, me direz-vous… (oui, je pense comme vous…).

Alors ? Pour apprécier l’ampleur de la réforme en cours de la loi « Informatique et Libertés », il y a deux méthodes.

1) Le projet de réforme « Informatique et Libertés » du Gouvernement

Vous pouvez aller lire en ligne le Projet de loi du Gouvernement « relatif à la protection des données personnelles », rendu public à la suite du Conseil des ministres du mercredi 13 décembre 2017. Je ne résiste pas au plaisir de vous livrer juste les 5 premières lignes de l’article 1 du projet de loi du Gouvernement :

« L’article 11 de la loi n° 78-17 du 6 janvier 1978 … est ainsi modifié :

1° Au début du premier alinéa, est insérée la référence : « I. – » ;

2° Après la première phrase du premier alinéa est insérée la phrase suivante :

« Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 » ;

3° Au a du 2° les mots : « autorise les traitements mentionnés à l’article 25, » et les mots: « et reçoit les déclarations relatives aux autres traitements » sont supprimés« …

Il y a dans le même format un total de 24 articles qui forment ensemble un document .pdf de 17 pages. Bon courage…

Il serait temps pour nos parlementaires et nos gouvernants d’apprendre à se servir (comme tout le monde) du mode « mark up » pratiqué par la terre entière. Manifestement, le choc de simplification du quinquennat précédent n’y est pas arrivé. La France en Marche y arrivera-t-elle ? Qui osera (enfin, un jour) réformer ce mode de fonctionnement d’un autre âge qui ne permet à personne de savoir ce qui se prépare ?

Evidemment, reste une autre méthode, celle de la modification « ligne à ligne » depuis la version du texte actuellement en vigueur. Et ça prend du temps à faire… beaucoup de temps pour celui qui s’y colle…

RGPD-GDPR la loi française "Informatique et Libertés mark-up" à jour du projet de loi du 13 décembre 2017

2) La réforme 2018 « Informatique et Libertés » en mark-up !

Evidemment, une réforme en mark up, c’est déjà plus lisible… Il fallait juste le temps de faire ce mark up. 

Vous pouvez télécharger mon document de travail à partir de ce lien :

http://www.ledieu-avocats.fr/wp-content/uploads/2017/12/11-loi-CNIL-n%C2%B078-17-v1.2017-PJL-13-12-2017-Ledieu-Avocats.docx

C’est un document de travail, susceptible de comporter quelques erreurs [voir ci-dessous pour les données de santé]… Pour gagner un peu de confort de lecture et une meilleure compréhension, nous avons transformé « Règlement UE 2016/679 » en « [RGPD] », comme « données à caractère personnel » est devenu « données [personnelles]…

Le code couleur (très compliqué) :

  • si c’est souligné + surligné en jaune : ce sont les ajouts du projet de loi (PJL pour les intimes) au regard du texte actuellement en vigueur;
  • si c’est en texte barré + surligné en jaune (parfois en petits caractères), c’est la partie du texte dont la suppression est annoncée. 

C’est un .docx, donc pas d’excuses pour ne pas le faire évoluer de votre coté… Mais n’attendez rien de plus de notre part avant la version finale publiée au JO (février 2018 ?).

… pardon… j’ai pas eu le temps de faire tous les renvois en automatique… pardon…

Les axes principaux de la réforme 2018 « Informatique et Libertés »

1) Mise en conformité avec la Directive 2016/680 du 27 avril 2016

Oui, oui, vous avez bien lu, la Directive 2016/680, adoptée le meme jour que le RGPD… La directive « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales« . Premier pavé à digérer… Bonne lecture des articles 70-1 à 70-27 [nouveaux] de la future loi CNIL.

2) L’encadrement des données de santé

Là encore, il fallait s’y attendre. Historiquement, les données de santé forme le gros des données sensibles. Voici le (nouveau) Chapitre IX [traitements de données [personnelles de santé] à des fins de recherche / étude / évaluation]. Si votre entreprise/organisme traite des données de santé, bon lecture… 

[mise à jour du 25 janvier 2018] Madame Lorraine Maisnier-Boché, senior juriste à l’ASIP Santé, me signale une erreur dans le mark-up en téléchargement. Je vous retranscris fidèlement ses remarques :

« A l’article 27 (cf. art. 9-II du PJL), la modification apportée ne consiste pas à supprimer le paragraphe 2° puis à modifier le 1°, mais à l’inverse, à supprimer intégralement le 1°, puis à modifier le 2° qui devient le paragraphe unique (d’où l’indication que la « référence 2° » est supprimée). Par ailleurs, les II, III, IV de l’article 27, puis les article 24 et 25 de la LIL (cf. art. 9-III) sont également supprimés« .

3) Pouvoirs d’enquête et de sanction de la CNIL

Evidemment, les pouvoirs d’enquête et de de sanction augmentent sensiblement dès le 25 mai 2018 pour les Autorités de contrôle… La CNIL bénéficie (donc) aussi de l’ensemble des mesures « paramétrables » prévues dans le RGPD-GDPR. Il faut aller lire le Chapitre VI « contrôle de la mise en oeuvre des traitements » (article 44) et le Chapitre VII « Mesures et sanctions prises par la formation restreinte de la [CNIL] » avec les articles 45 à 49 bis.

4) le DPO à la française ?

Rien sur le DPO à la française ! Ce sera donc seulement les 3 cas de désignation obligatoire ?

L’Allemagne a fait plus. Comme l’Espagne.

Conclusions ?

Aucune, mes week end (comme les vôtres) ne comptent de 48 heures. J’attendrai la fin de la navette parlementaire, prévue en « procédure accélérée » (1 passage unique dans chaque assemblée + éventuellement une unique Commission Mixte Paritaire) pour une lecture de l’ensemble… Ma décision est prise : je termine ces lignes et je vais me coucher ! Ha, zut !!! Restent à faire les liens http…

—> Pour aller plus loin sur la réforme en cours de la loi « Informatique et Libertés » 

avis du Conseil d’Etat du 7 décembre 2017

avis de la CNIL (délibération n° 2017-299 du 30 novembre 2017 publiée sur le site de la CNIL le 13 décembre 2017)

communiqué de presse CNIL du 13 décembre 2017 

– le dossier législatif complet (au 17 décembre 2017)