RGPD : à quoi pourrait ressembler le "code français des données personnelles" ?

« Mise en conformité, bon sens et clarification », telle est la ligne de conduite que s'est fixé le gouvernement concernant la préparation du projet de loi relatif à la protection des données personnelles (voir notre article), actuellement examiné au Parlement.

Concernant le calendrier, et alors que la CNIL déplorait le retard pris par le gouvernement, Thomas Andrieu, directeur des affaires civiles et du sceau au ministère de la Justice, l’assure : « les délais seront respectés ». La loi sera publiée au Journal officiel en avril et le décret d’application, en cours de rédaction, publié avant le 25 mai.

Les travaux sur le projet de loi ayant débuté au Parlement la veille de l’Université des DPO, Thomas Andrieu en dévoile certains éléments. « Un haut niveau de protection des données personnelles sera conservé. La France était précurseur et elle le restera », promet-il.

Sur l’architecture de la loi, une partie est consacrée au traitement des données ainsi qu’aux pouvoirs de la CNIL. Une seconde partie est dédiée aux dispositions du règlement, avec des renvois au texte, ainsi qu'aux différentes marges de manœuvre permises par le règlement. La troisième partie traite des dispositions communes au RGPD et à la directive UE du 27 avril 2016. Enfin, une dernière partie concerne le « hors champs de l’Union européenne » (par exemple : les données personnelles des personnes décédées).

La France aura un véritable « code des données personnelles, sans en porter le nom », résume Thomas Andrieu.

Concernant les marges de manœuvre laissées au législateur français par le texte européen, deux sujets ont été évoqués.

L’âge du consentement du mineur, déjà. Là où le RGPD prévoit qu’il est nécessaire de recueillir le consentement ou l’autorisation du titulaire de la responsabilité parentale pour les enfants âgés de moins de 16 ans (le seuil pouvant être abaissé à 13 ans), le texte français s’orienterait vers l'âge de 15 ans. Car « notre droit retient ce seuil dans d’autres domaines, tels que la santé (secret médical) », explique Thomas Andrieu. L’autre point, débattu en commission des lois à l'Assemblée nationale l’après-midi, concerne l’action de groupe aux fin de réparation du dommage causé par un manquement au RGPD. « Il y a une demande très forte des associations pour que le juge ordonne, outre la cessation du manquement au RGPD, l’octroi de dommages et intérêts aux victimes. Un amendement sera probablement adopté en ce sens », affirme Thomas Andrieu. Ces annonces ont été confirmées hier soir (voir le texte adopté en commission ; amendement n° CL234 sur le consentement des mineurs ; amendement n° CL262 sur l'action en réparation).

« Ce n’est pas une bonne nouvelle », selon Martine Ricouart-Maillet, vice-présidente de l’AFCDP. Et d'autant plus que, d'après Thomas Andrieu, les entreprises doivent s'attendre à une recrudescence des contentieux en matière de données personnelles. « Nous savons que les associations activistes sont d'ores et déjà prêtes à poursuivre, dès le 25 mai, les responsables de traitement sur le fondement du règlement européen ».