Délibération n° 2018-284 du 21 juin 2018 portant avis sur un projet de décret pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles (saisine n° AV 18012134)

JurisdictionFrance
Publication au Gazette officielJORF n°0177 du 3 août 2018
Date de publication03 août 2018
Enactment Date21 juin 2018
CourtCOMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES
Record NumberJORFTEXT000037278166


La Commission nationale de l'informatique et des libertés,
Saisie par la garde des sceaux, ministre de la justice, d'une demande d'avis concernant un projet de décret pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la directive (UE) 2016/68o du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11-I (4°, a) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n° 78-17 du janvier 1978 ;


Après avoir entendu Mme Isabelle FALQUE-PIERROTIN, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie pour avis, le 11 juin 2018, d'un projet de décret pris pour l'application de la loi n° 78-17 du 6 janvier 1978, modifiée en dernier lieu par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, sur le fondement de l'article 11-I (4°, a) de cette même loi. En application de ces dispositions, cet avis sera rendu public.
Ce projet de décret a pour objet de poursuivre la mise en conformité du droit national avec le règlement (UE) 2016/679 susvisé (ci-après « le Règlement ») et la directive (UE) 2016/680 susvisée (ci-après « la Directive »). L'adaptation du droit français au nouveau cadre européen a été principalement réalisée par l'adoption de la loi précitée du 20 juin 2018, sur laquelle la commission s'est prononcée dans son avis en date du 17 novembre 2017, qui a substantiellement modifié la loi du 6 janvier 1978 et a notamment fait usage de certaines des marges de manœuvre ouvertes aux Etats membres par le Règlement. Le présent projet de décret vise à poursuivre, au niveau réglementaire, ce travail d'adaptation au droit de l'Union, principalement par la modification du décret susvisé n° 2005-1309 du 20 octobre 2005 susvisé, et à faire application de certaines de ces nouvelles dispositions législatives. Il appelle les seules observations suivantes de la part de la commission.
Sur les dispositions relatives à la commission :
Les articles 2 à 7 du projet de décret visent à modifier le titre Ier du décret n° 2005-1309 du 20 octobre 2005 modifié, relatif au fonctionnement et aux missions de la commission. A titre général, la commission considère que les dispositions projetées complètent utilement ledit décret des nouvelles missions prévues par le Règlement et la Directive, apportent les précisions nécessaires aux règles de procédure applicables aux nouveaux outils de conformité prévus par le Règlement et ménagent la souplesse indispensable au bon exercice de l'ensemble des missions de la commission. Ces dispositions appellent néanmoins les observations suivantes de la part de la commission.
Concernant le projet d'article 4 du décret du 20 octobre 2005, relatif aux modalités de convocation et d'envoi des projets de délibération au commissaire du Gouvernement, la commission estime que le cas de l'urgence, pouvant conduire à écarter le délai de huit jours, pourrait utilement être réservé de manière expresse.
L'article 4 du projet de décret vise à faire application des dispositions prévues au dernier alinéa de l'article 15 de la loi du 6 janvier 1978 modifiée, en définissant, dans un nouvel article 4-1 du décret du 20 octobre 2005 modifié, les conditions et limites dans lesquelles le président et le vice-président délégué de la commission peuvent déléguer leur signature. Si la commission est favorable au dispositif projeté, elle estime que ces dispositions seraient utilement complétées, au e du 1° du I du projet d'article 4-1 du décret du 20 octobre 2005 modifié, de la possibilité de déléguer la signature des renouvellements de délai en cas de consultation de la commission sur les analyses d'impact relatives à la vie privée. La mention des délais prévus au projet d'article 110-1du même décret et au 2° de l'article 36 du Règlement serait dès lors utilement ajoutée et la référence aux dispositions du IV de l'article 54 de la loi du 6 janvier 1978 modifiée doit être remplacée par celle du V du même article.
Elle estime en outre que les modalités de publicité des délégations au Journal officiel ou sur son site internet devraient figurer dans le projet de décret, sauf à ce que ce dernier renvoie expressément au règlement intérieur le soin de les préciser.
L'article 6 du projet de décret vise à modifier l'article 6-1 du décret du 20 octobre 2005 modifié pour tenir compte de la faculté, nouvellement prévue à l'article 11-I (4°, a) de la loi du 6 janvier 1978 modifiée, de consulter la commission sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. La commission s'interroge sur la possibilité pour le Gouvernement lui-même d'invoquer l'urgence dans cette dernière hypothèse.
L'article 7 du projet de décret prévoit la création des articles 6-2 à 6-8 du décret du 20 octobre 2005 modifié, relatifs à différentes demandes pouvant être adressées à la commission, à savoir les réclamations, les demandes d'approbation de code de conduite, de règles d'entreprise contraignantes et en matière de certification.
De manière générale, la commission relève que les dispositions projetées fixent des règles claires, cohérentes et transparentes pour les usagers, en particulier s'agissant des délais d'examen des demandes et des conséquences de l'absence de réponse de la commission. A cet égard, elle rappelle que les mécanismes de coopération et de cohérence prévus aux articles 6o et suivants du Règlement sont susceptibles d'allonger les délais d'instruction de certaines demandes et prend acte que ces hypothèses sont globalement prises en compte dans le projet de décret.
Néanmoins, elle observe que les modalités de saisine de la commission sur ces demandes ne sont pas précisées, à l'exception des réclamations. Elle relève en particulier que la saisine par voie électronique n'est pas expressément prévue, à la différence de ce que le projet de décret prévoit pour les « formalités préalables » - cette précision n'apparaissant en tout état de cause pas impérative compte tenu de l'application des dispositions de droit commun du code des relations entre le public et l'administration. Elle estime en outre qu'il serait opportun de préciser, comme le prévoit l'article 7 du décret du 20 octobre 2005 modifié en matière de formalités préalables, que la commission peut fixer la liste des pièces et annexes devant, le cas échéant, être jointes à ces saisines et déterminer des modèles facilitant et encourageant l'utilisation de ces nouveaux outils. En tout état de cause, ces éléments devraient pouvoir être précisés dans son règlement intérieur, conformément au II de l'article 13 de la loi du 6 janvier 1978 modifiée.
S'agissant en particulier des demandes d'approbation de règles d'entreprise contraignantes mentionnées au projet d'article 6-6 du décret du 20 octobre 2005 modifiée, la commission rappelle que les délais prévus par les dispositions projetées de saisine du Comité européen de la protection des données (CEPD) ne doivent s'appliquer qu'à compter de la réception d'une demande complète et lorsque la commission agit en tant qu'autorité chef de file.
En outre, elle estime que les délais prévus pour approuver ces règles d'entreprise après réception de l'avis du CEPD ne permettent pas de prendre en compte toutes les hypothèses prévues par les articles 64 et 65 du Règlement. En particulier, lorsque le comité émet un avis qui requiert que des modifications soient apportées aux règles à approuver, la commission ne sera pas nécessairement en mesure d'approuver ces règles dans un délai d'un mois si elle refuse de suivre l'avis du comité, qui peut alors adopter une décision contraignante dans les conditions prévues par l'article 65 du Règlement. Il convient dès lors de reporter le point de départ du délai d'un mois à l'issue des procédures prévues aux articles 64 et 65 du Règlement.
Sur les dispositions relatives aux « formalités préalables » :
Les articles 8 à 16 du projet de décret prévoient la modification du titre II du décret du 20 octobre 2005 modifié, relatif aux formalités préalables adressées à la commission. Ils visent à tirer les conséquences du Règlement et de la loi du 6 janvier 1978 modifiée, qui suppriment la plupart de ces formalités mais en font néanmoins subsister certaines, et à intégrer les consultations préalables sur les analyses d'impact visées aux articles 36 du Règlement et 70-4 de la loi précitée, dans les dispositions générales applicables à ces saisines de la commission.
Il est notamment prévu que les déclarations, consultations et demandes sont obligatoirement adressées à la commission par voie électronique, avec accusé de réception qui peut être...

Pour continuer la lecture

SOLLICITEZ VOTRE ESSAI

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT