RGPD : réécrivons le projet de loi Informatique et libertés 3 !

Le projet de loi informatique et libertés 3 (LIL 3), interpelle un grand nombre d'entreprises membres de l'ACSEL. En effet, le Gouvernement a soumis au Parlement un projet de loi de loi relatif à la protection des données personnelles dans le cadre d'une procédure accélérée. Pour tenir compte du RGPD, il a préféré conserver le cadre de la loi de 1978 et le modifier marginalement, ce qui n'est pas sans poser quelques problèmes.

La loi qui transpose le RGPD en droit français
entre en contradiction avec le RGPD sur de nombreux points.

Les définitions qui figurent aux articles 2 et 3 de la loi actuelle ne sont pas conformes à l'article 4 du RGPD. Ce dernier définit de façon plus explicite la définition de « données à caractère personnel ». En ce qui concerne la définition de « traitement », le règlement retient les termes de « structuration » et de limitation » et non celle de « verrouillage ». La loi française ignore même le concept de coresponsable de traitement alors qu'il s'agit là d'une avancée considérable apportée par le RGPD !

Le RGPD introduit des règles relatives au champ d'application territorial qui sont sans rapport avec l'article 5 la loi de 1978 qui est maintenu tel quel. Or ce champ consacre le principe du « public cible », le règlement est ainsi applicable aux entités établies sur le territoire de l'UE mais aussi aux entreprises établies hors UE dès lors qu'elles offrent des biens ou des services à des personnes se trouvant dans l'Union.

Les contradictions ne s'arrêtent pas là. Les articles 5 du RGPD et 6 de la loi de 1978 qui fixent les principes généraux du droit des données personnelles sont concernés puisque le RGPD va plus loin en retenant les principes de sécurité et d'accountability, absents du projet de loi.

Non à un dispositif provisoire qui documente lui-même
son imperfection et sa difficile application

Le choix opéré par le Gouvernement de conserver une grande partie de la loi de 1978 conduit les rédacteurs du texte à prévoir un article Titre IV dont le titre est édifiant ... « habilitation à améliorer l'intelligibilité de la législation applicable à la protection des données ». En d'autres termes le titre IV fixe des règles pour rendre la loi « intelligible ».

L'article 20 du projet de loi autorise ainsi le Gouvernement, à réécrire, par voie d'ordonnance « l'ensemble de la loi n°78-17 du 6 janvier 1978 ». Cette ordonnance devra être adoptée dans les 6 mois à compter de la promulgation de la loi et que la loi de ratification elle-même devra être adoptée dans les 6 mois de l'adoption de l'ordonnance... En d'autres termes, la durée de vie de la loi telle qu'elle sera adoptée n'aura une durée de vie que de 12 mois au plus.

Ainsi, les entreprises et les acteurs publics vont être contraints de se mettre en conformité avec une loi qui n'existera plus, alors même que les sanctions concernant le non-respect du RGPD et donc de la loi à venir sont extrêmement élevées.

Réécrivons le projet de loi !

Le projet de loi doit permettre aux entreprises de mieux comprendre, en pratique, les mesures, procédures et documentations à déployer. Au regard des risques qui pèsent sur les entreprises (jusqu'à 4% du chiffre d'affaires mondial d'une entreprise) ce travail de clarification doit être fait avant l'entrée en vigueur du RGPD.

Il est donc urgent que le projet de loi soit réécrit et complété sur bien des aspects, permettant ainsi aux entreprises de bien comprendre les mesures qu'elles doivent mettre en œuvre. Nous estimons également que la révision de la loi de 1978 ne doit pas être remise à plus tard !