A la Une N°127 (2): L’intégration des collectivités dans la protection des données

Mis à jour : 27 avr. 2018


Le 21 mars 2018, les sénateurs ont adopté le projet de loi relatif à la protection des données personnelles, qui transpose le nouveau cadre juridique européen. 


Le règlement général sur la protection des données qui doit entrer en vigueur le 25 mai prochain, tend vers trois objectifs : renforcer la protection via le droit à l’oubli ; la portabilité des données personnelles et les actions collectives ; responsabiliser les acteurs en graduant le risque, en privilégiant le droit souple, en passant du contrôle a priori au contrôle a posteriori ; enfin, crédibiliser la régulation. La directive sur les données personnelles en matière pénale accompagnant le règlement doit être transposée avant le 6 mai.


Les sénateurs n’ont pas remis en cause l’objectif global du texte mais ont néanmoins déploré l’absence des collectivités territoriales dans le projet de loi, pourtant responsables de nombreux traitements : état civil, cantines scolaires, aide sociale, listes électorales…


Ainsi, les parlementaires ont prévu de dégager de nouveaux moyens financiers pour contribuer à la mise en conformité, notamment en orientant le produit des amendes et astreintes prononcées par la Commission nationale de l’informatique et des libertés (CNIL) à leur intention et en créant une dotation communale et intercommunale pour la protection des données personnelles.


En outre, a également décidé de réduire l’aléa financier pesant sur les collectivités, en supprimant la faculté pour la CNIL de leur imposer des amendes administratives et en reportant de deux ans l’entrée en vigueur de l’action de groupe en réparation en matière de données personnelles.


Le poids important des décisions de justice


Par ailleurs, les sénateurs ont supprimé l’abaissement de seize à quinze ans de l’âge à partir duquel un mineur peut consentir seul au traitement de ses données concernant l’offre directe de services de la société de l’information.


Concernant l’élargissement de la liste des personnes autorisées à traiter de données en matière pénale, les parlementaires ont considéré que le dispositif proposé était insuffisamment protecteur. Ils ont ainsi maintenu le régime actuel d’autorisation préalable pour les traitements de données portant sur les infractions, condamnations et mesures de sûreté.


En vue d’une meilleure protection des élèves, les établissements scolaires du premier et second degré devront mettre à la disposition du public la liste des traitements de données les concernant.


Enfin, ils ont également souhaité renforcer le cadre juridique de la mise à disposition du public des décisions de justice. Celle-ci devrait prévenir « tout risque de ré-identification des juges, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d’atteinte à la liberté d’appréciation des juges et à l’impartialité des juridictions ».


Le texte, examiné en procédure accélérée, devra passer en commission mixte paritaire en vue de son adoption définitive.