Ce que change la loi pour une République numérique pour la protection des données personnelles

16 novembre 2016

Quels sont les apports de la loi république numérique en matière de protection des données personnelles ?

La loi pour une République numérique du 7 octobre 2016 crée de nouveaux droits informatique et libertés et permet ainsi aux individus de mieux maîtriser leurs données personnelles. Elle renforce les pouvoirs de sanctions de la CNIL et lui confie de nouvelles missions. Elle contribue également à une meilleure ouverture des données publiques.

Certaines dispositions anticipent le règlement européen sur la protection des données personnelles applicable en mai 2018.

Publiée au Journal Officiel du 8 octobre 2016, la loi pour une république numérique introduit de nombreuses dispositions directement applicables, d’autres doivent attendre la publication de décrets d’application. Nous recensons ci-dessous les dispositions d’application directe. Ce recensement sera mis à jour au fur et à mesure de la publication des décrets d’application.

De nouveaux droits pour les personnes

  • L’affirmation du principe de la maîtrise par l’individu de ses données

Le droit à l’autodétermination informationnelle s’inspire d’un droit similaire dégagé par la juridiction constitutionnelle allemande. Il renforce positivement les principes énoncés à l’article 1er de la loi Informatique et Libertés en affirmant la nécessaire maîtrise de l’individu sur ses données.

  • Le droit à l’oubli pour les mineurs

L’article 40 de la loi Informatique et libertés prévoit désormais un « droit à l’oubli » spécifique aux mineurs et une procédure accélérée pour l’exercice de ce droit. Lorsque la personne concernée était mineure au moment de la collecte des données, elle peut obtenir auprès des plateformes l’effacement des données problématiques « dans les meilleurs délais ».

En l’absence de réponse ou de réponse négative de la plateforme dans un délai de un mois, la personne peut saisir la CNIL qui dispose alors d’un délai de 3 semaines pour y répondre.

  • La possibilité d'organiser le sort de ses données personnelles après la mort 

Le nouvel article 40-1 de la loi Informatique et libertés permet aux personnes de donner des directives relatives à la conservation, à l'effacement et à la communication de leurs données après leur décès.

Une personne peut être désignée pour exécuter ces directives. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés.

Ces directives sont :

  • générales, lorsqu’elles portent sur l’ensemble des données concernant une personne ;
  • ou particulières, lorsque ces directives ne concernent que certains traitements de données spécifiques.

Lorsque ces directives sont générales et portent sur l'ensemble des données du défunt, elles peuvent être confiées à un tiers de confiance certifié par la CNIL.

Lorsqu’il s’agit de directives particulières, elles peuvent également être confiées aux responsables de traitement (réseaux sociaux, messagerie en ligne) en cas de décès. Elles font l'objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d'utilisation.

En l'absence de directives données de son vivant par la personne, les héritiers auront la possibilité d'exercer certains droits, en particulier :

  • le droit d'accès, s'il est nécessaire pour le règlement de la succession du défunt ;
  • le droit d'opposition pour procéder à la clôture des comptes utilisateurs du défunt et s'opposer au traitement de leurs données.
  • La possibilité d'exercer ses droits par voie électronique

Le nouvel article 43 bis de la loi Informatique et Libertés impose, "lorsque cela est possible", de permettre à toute personne l’exercice des droits d'accès, de rectification ou d'opposition par voie électronique, si le responsable du traitement des données les a collectées par ce vecteur.


Plus d’information et de transparence sur le traitement des données.

L'information des personnes sur la durée de conservation de leurs données 

L’obligation d’information prévue par l’article 32 de la loi Informatique et Libertés est renforcée.  Les responsables de traitements de données doivent désormais informer les personnes de la durée de conservation des données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.


Les compétences de la CNIL confortées et élargies

  • Un pouvoir de sanction renforcé 

Le plafond maximal des sanctions de la CNIL passe de 150.000€ à 3 millions € (anticipation sur l’augmentation du plafond du montant des sanctions par le règlement européen qui sera applicable le 25 mai 2018 et prévoit un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial).

La formation restreinte de la CNIL peut désormais ordonner que les organismes sanctionnés informent individuellement de cette sanction et à leur frais, chacune des personnes concernées.

Elle pourra également prononcer des sanctions financières sans mise en demeure préalable des organismes lorsque le manquement constaté ne peut faire l'objet d'une mise en conformité.

  1. Une consultation plus systématique de la CNIL.

La CNILsera saisie pour avis sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Cette rédaction permettra à la CNIL d’apporter son expertise aux pouvoirs publics de manière plus systématique, alors que les textes actuels ne prévoient sa saisine que sur les dispositions relatives à la « protection » des données personnelles.

  • La publicité automatique des avis de la CNIL sur les projets de loi.

Cette disposition renforce la transparence sur les avis de la CNIL.

  • De nouvelles missions :

  • L’affirmation de sa mission de promotion de l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données.
  • La certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation. L’anonymisation des bases de données est une condition essentielle à leur ouverture ou à leur partage : elle permet de prémunir les personnes des risques de ré-identification, et les acteurs (administrations émettrices de données, ré-utilisateurs, entreprises privées qui réalisent des recherches notamment statistiques), de la mise en cause de leur responsabilité en la matière. La certification ou l’homologation de méthodologies d’anonymisation ainsi que la publication de référentiels ou de méthodologies générales par la CNIL sera ainsi un gage de protection des personnes et de sécurité juridique pour les acteurs.
  • La conduite par la CNIL d’une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques. Même si la loi Informatique et Libertés a toujours comporté une dimension éthique fondamentale, comme en témoignent tant ses conditions de création et son article 1er, que la composition de la Commission, la révolution numérique implique une réflexion élargie sur sa dimension éthique.

L’ouverture des données publiques étendue

La loi pour une république numérique ne remet pas en cause l’équilibre entre transparence administrative et protection de la vie privée et des données personnelles. En effet, les critères de communicabilité n’ont pas changé, et la publication – donc la réutilisation – est subordonnée au caractère librement communicable du document.

Pour autant, en passant d’une logique de la demande d’un accès à une logique de l’offre de données publiques, la loi vise clairement à ouvrir très largement les données publiques. La CNIL va accompagner cette ouverture, notamment en répondant aux demandes de conseil des collectivités publiques ou  des réutilisateurs, puisque toute réutilisation de données personnelles est soumise au « droit commun » Informatique et Libertés. La possibilité pour la CNIL d’homologuer des méthodologies d’anonymisation constituera un élément important de cette régulation.

En matière de gouvernance de la donnée,  la loi prévoit un rapprochement entre la CNIL et la CADA, à travers, notamment, une participation croisée dans les deux collèges.