La loi n° 2016-1321 du 7 octobre 2016 « pour une République numérique » comporte de nombreux volets de toutes natures, dont la protection des données personnelles. A ce titre, elle modifie notamment la loi 78-17 dite « Informatique et libertés » du 6 janvier 1978 aux fins d’anticiper,
en partie, le règlement européen sur la protection des données personnelles qui ne sera applicable qu’à partir de mai 20181.
L’un des grands objectifs de cette loi est de permettre aux individus de mieux maîtriser leurs données personnelles. Il en résulte davantage d’obligations pour les professionnels qui doivent être d’autant plus vigilants que les pouvoirs de sanction de la CNIL sont renforcés.
Précisons que cette loi, publiée au Journal Officiel du 8 octobre 2016, introduit de nombreuses dispositions immédiatement et directement applicables. Cependant certaines dispositions doivent encore être précisées par des décrets d’ici le printemps 2017.
* * *
Les principales mesures directement applicables en matière de protection des données personnelles sont les suivantes :
1. Renforcement de l’information des personnes sur la durée de conservation de leurs données :
L’obligation d’information prévue par l’article 32 de la loi « Informatique et Libertés » est renforcée à la charge des responsables de traitements des données (autrement dit : les professionnels qui collectent des données personnelles, comme c’est le cas aujourd’hui de la plupart des entreprises qui travaillent en B to C).
Pour rappel, cet article prévoyait déjà l’obligation d’informer les personnes, au moment de la collecte de leurs données, de leur droits (notamment droits d’accès, de rectification et d’opposition), ainsi que de l’identité du responsable de traitement, la finalité de ce traitement, du caractère obligatoire ou facultatif des réponses, des destinataires des données, et le cas échéant, des transferts de données à l’étranger.
Les responsables de traitements de données doivent désormais également informer les personnes de la durée de conservation des données traitées ou,
en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée.
2. De nouveaux droits pour les personnes :
La loi pour une République numérique introduit de nouveaux droits pour les personnes et notamment le droit à l’oubli pour les mineurs et la possibilité d’organiser le sort des données personnelles après la mort.
3. La possibilité pour les personnes d’exercer leurs droits par voie électronique :
Le nouvel article 43 bis de la loi « Informatique et Libertés » modifié par la loi pour une République numérique impose, « lorsque cela est possible », de permettre à toute personne l’exercice des droits d’accès, de rectification ou d’opposition par voie électronique, si le responsable du traitement des données les a collectées par ce vecteur.
4. Un pouvoir de sanction de la CNIL renforcé :
La loi pour une République numérique prévoit des sanctions beaucoup importantes que celles actuellement applicables. En particulier, le plafond maximal des sanctions de la CNIL passe de 150.000 euros à 3 millions d’euros.
Précisons que ce plafond du montant des sanctions va encore augmenter à partir de mai 2018 lors de l’entrée en application du règlement européen n°2016/679/UE du 27 avril 2016 sur les données personnelles (plafond de 20 millions d’euros ou de 4% du chiffre d’affaires mondial !).
De plus, s’agissant des mesures de publication des sanctions, la formation restreinte de la CNIL peut désormais ordonner que les entreprises sanctionnées informent à leur frais et de façon individuelle chacune des personnes concernées.