Le 13 décembre 2017, la Garde des Sceaux, Ministre de la justice, a présenté en Conseil des ministres, le projet de loi en vue de modifier la Loi Informatique & Libertés.
Le Gouvernement prévoit de procéder par voie d’ordonnance pour permettre la mise en œuvre effective du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement Général sur la Protection des Données – RGPD) qui entrera en application le 25 mai 2018.
Toutefois, aucune précision n’a été donnée quant au calendrier législatif. La CNIL a regretté un « calendrier trop tardif » retenu pour l’examen de la modification de la Loi Informatique & Libertés, après avoir rappelé qu’il faudra faire vite pour que la Loi Informatique & Libertés modifiée entre en vigueur au 25 mai 2018.
En l’état, le projet de loi comprend notamment un Titre Ier relatif aux dispositions communes au RGPD, et un Titre II qui rassemble les différents amendements à la Loi Informatique & Libertés pour la mettre en conformité avec le RGPD. La CNIL est ainsi désignée comme étant l’autorité de contrôle nationale au sens et pour l’application du RGPD.
Il est également précisé que la CNIL peut agréer des organismes certificateurs, sur la base de l’accréditation délivrée par le Comité français d’accréditation (COFRAC) et certifier des personnes, des produits, des systèmes ou des procédures aux fins d’en démontrer la conformité avec le RGPD et le droit national, y compris dans le cadre des processus d’anonymisation des données personnelles.
La CNIL est également habilitée à encourager l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables du traitement de données personnelles et aux sous-traitants pour se conformer au RGPD. La CNIL peut aussi présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du RGPD et le droit national.
Le projet de loi supprime aussi le régime de déclaration préalable des traitements de données personnelles prévu aux articles 22 à 24 de la loi Informatique & Libertés. En ligne avec le RGPD, les responsables de traitement de données personnelles devront mener une analyse d’impact afin de mesurer le risque en matière de protection des données et, le cas échéant, consulter la CNIL lorsque le traitement présentera un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
Concernant les catégories de données, le projet de loi reprend le principe d’interdiction de traitement de données dites « sensibles » tout en élargissant le champ de ces données. Toutefois, le traitement des données de santé relève d’un encadrement spécifique. Sans passer par une autorisation préalable de la CNIL, le traitement de données de santé devra être conforme à un référentiel méthodologique qui sera adopté conjointement par la CNIL et par l’Institut national des données de santé mentionné à l’article L. 1462-1 du Code de la santé publique.
L’allègement des procédures sur les données de santé n’est donc pas avéré.