L’Assemblée nationale a adopté hier, en nouvelle lecture, le projet de loi adaptant le droit français au Règlement européen sur la protection des données personnelles (RGPD), après l’échec de la commission mixte paritaire le 6 avril dernier. Soulignant l’importance de ce projet, Mounir Mahjoubi, secrétaire d’État chargé du numérique, a rappelé « Qu’au moment où nous débattons, le scandale Cambridge Analytica a déjà fait beaucoup de bruit. Facebook est gravement mis en cause : son dirigeant a dû s’expliquer devant le Congrès des États-Unis ces deux derniers jours. Ce texte arrive donc à point nommé pour tracer, face aux enjeux, une voie française et européenne. En protégeant les données personnelles, nous affirmons notre conception de la démocratie. »
Il a vite fait d’être rejoint par Paula Forteza, rapporteure de la commission des lois constitutionnelles, qui a déclaré :
« Trop souvent, ceux qui parlent du numérique s’expriment au futur, comme s’il s’agissait d’un monde à venir, alors qu’il s’agit bien de notre présent. Il est donc urgent de relever collectivement les défis qui s’imposent en urgence à nous.
« En conséquence, nous ne pouvons que prendre toute la mesure du changement de paradigme que représente le RGPD, le règlement général sur la protection des données. Celui-ci vise à responsabiliser les acteurs et à renforcer les droits des personnes. Ce nouvel équilibre favorisera ceux qui s’engagent en faveur de la protection des données personnelles tout en pénalisant davantage ceux qui, au contraire, ne respectent pas les règles.
« Le plus important, c’est que cette nouvelle réglementation soit prise au niveau européen, car cela nous permettra de construire un écosystème favorable à l’émergence de nouvelles pratiques. Nombreux sont les pays extérieurs à l’Union européenne qui s’interrogent pour eux-mêmes sur les outils de régulation à mettre en place et observent attentivement les changements de réglementation en cours chez nous, je le souligne. »
Dispositions relatives à la Commission nationale de l’informatique et des libertés
Le texte prévoit qu’elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants.
Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel.
Dispositions relatives à certaines catégories de données
Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel
Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition.
Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations permettant à l’autorité compétente destinataire de juger de l’exactitude, de l’exhaustivité et de la fiabilité des données à caractère personnel et de leur niveau de mise à jour.
S’il s’avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l’article 70-20.
Sources : Assemblée Nationale, texte avec les amendements (au format PDF)
Et vous ?
Votre entreprise ou vos applications sont-elles déjà conformes ? Voir aussi :
RGPD : Un guide pratique pour les développeurs Europe : nouvelle réglementation générale sur la protection des données à respecter avant le 25 mai 2018, vos applications seront-elles conformes ? Richard Stallman remet en cause l'efficacité du RGPD, il veut plutôt une loi qui empêche les systèmes de collecter des données personnelles Mark Zuckerberg explique que Facebook n'a pas l'intention d'étendre le RGPD au reste du monde, mais promet de s'inspirer de cette loi européenne 
)