BFM Business

La loi informatique et libertés va subir un lifting pour mieux protéger les données perso

La révision de la loi informatique et libertés de 1978 est indispensable avant l'entrée en vigueur le 25 mai du règlement générale sur la protection des données (RGPD).

La révision de la loi informatique et libertés de 1978 est indispensable avant l'entrée en vigueur le 25 mai du règlement générale sur la protection des données (RGPD). - Étienne Laurent-AFP

L'Assemblée révise la loi de 1978 pour l'adapter au droit européen sur la protection des données personnelles. Les contrôles a priori par la Cnil seront remplacés par des vérifications a posteriori avec de fortes amendes pour les entreprises en cas de perte ou de vol de données perso.

Cette jeune quadragénaire va subir un sérieux lifting. La loi informatique et libertés du 6 janvier 1978, qui a notamment créé la Cnil, va être profondément révisée par un nouveau texte gouvernemental. Ce projet de loi sera défendu par la ministre Nicole Belloubet, à partir du mardi 6 février, devant le Parlement. Il transpose en droit français le règlement général sur la protection des données personnelles (RGPD) entrant en vigueur le 25 mai 2018.

Ce règlement européen instaure de nouveaux droits pour les citoyens, en particulier un droit à la portabilité des données personnelles, un droit à l’effacement élargi, le droit de recourir à des actions collectives et un droit à réparation du dommage subi en cas de perte ou de vol.

C'est pourquoi, s'agissant des traitements de données personnelles en matière pénale, le projet de loi crée un droit à l'information et prévoit l'exercice direct de certains droits, tels que les droits d'accès, de rectification et d'effacement des données. Sont concernés le fichier national des empreintes génétiques, des interdits de stade, ou encore le TAJ, traitement des antécédents judiciaires.

Des amendes jusqu'à 4% du chiffre d'affaires mondial

Le texte en discussion au Parlement remplace le système de contrôle a priori -avec des déclarations et des autorisations préalables- par un contrôle a posteriori. Les sociétés détentrices de données, désormais responsables des informations privées collectées tout au long de la mise en oeuvre des fichiers qu'elles gèrent, devront en renforcer sérieusement la protection informatique.

En contrepartie de cette responsabilisation des acteurs, les pouvoirs de la Commission nationale de l'informatique et des libertés (Cnil) et les sanctions encourues sont renforcés. Les entreprises privées et organisations publiques seront obligées de prévenir rapidement la Cnil en cas de perte, de vol ou de divulgation de données personnelles, sous peine d'amendes qui pourront aller jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros.

Autre point sensible, l'âge de la "majorité numérique" à partir duquel un mineur peut librement exposer ses données personnelles en s'inscrivant sur des réseaux sociaux sans autorisation parentale. Le règlement européen fixe cette majorité numérique à 16 ans, mais autorise les États-membres à l'abaisser jusqu'à 13 ans.

La majorité numérique sera-t-elle abaissée à 15 ans ?

Alors que le gouvernement avait maintenu ce seuil de 16 ans, les députés l'ont abaissé en commission, de manière consensuelle, à 15 ans, "âge où le mineur entre généralement au lycée et où sa maturité lui permet en principe de maîtriser les usages sur internet", selon le rapporteur Paula Forteza (LaREM), ancienne d'Etalab, service de Matignon chargé de coordonner l'ouverture des données publiques. Reste à savoir où sera placé le curseur de cette limite d'âge à l'issue des débats au Parlement.

Les députés ont également introduit en commission la possibilité d'une action de groupe pour la réparation de préjudices subis, d'ordre matériel ou moral. Un amendement gouvernemental prévoit, lui, d'autoriser la réutilisation des données sensibles dans la mise en ligne, en open data, des décisions de justice, à condition que cette réutilisation ne permette pas "la ré-identification des personnes".

Le droit européen ne s'appliquera cependant pas à une dizaine de fichiers de "souveraineté", comme le fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), généralement gérés par les services de renseignement. Ceux-ci resteront soumis à un droit d'accès indirect, via le Conseil d'État, une procédure en vigueur depuis la loi sur le renseignement de 2015.

Frédéric Bergé