La Cnil vient de lancer une série d’articles intitulés « Les enjeux pour 2017 » sur son site, à l’occasion de la publication de son rapport annuel 2016.
C’est bien sûr la perspective de l’entrée en vigueur du Règlement européen sur la protection des données et plus généralement le « paquet données personnelles » le 25 mai 2018 qui constitue le fait majeur de l’année en cours. La Commission attire l’attention du public sur l’enjeu qu’il constitue, au cours de l’année 2017, au demeurant déjà bien entamée, et déjà bien occupée sur le plan de l’activité juridico-politique par les campagnes électorales.
Le n°2 de cette série d’articles en cours, en date du 27 mars, met ainsi l’accent sur l’urgence de « Disposer impérativement d’une nouvelle loi Informatique et Libertés avant mai 2018 ».
Tout est dit en peu de mots dans le chapeau de l’article :
« Le règlement européen comporte de très nombreux renvois au droit national.
Par ailleurs, il n’est pas applicable à certains traitements de données, notamment les fichiers relatifs à la sécurité publique. Le Parlement devra donc adopter une nouvelle loi « informatique et libertés » pour tenir compte de ce nouvel environnement européen qui devra être impérativement adoptée avant le 25 mai 2018, sous peine de rendre très largement inapplicable le nouveau cadre de protection en France. »
Il est donc évident que de nombreuses adaptations de notre droit français sont à mettre en place pour la pleine effectivité du règlement en mai 2018. On sait qu’un règlement constitue dès son entrée en vigueur la loi de tous les États membres sans processus de transposition nationale, à l’inverse des directives. Mais malgré cette généralité de règles d’application directe dans les systèmes juridiques nationaux, il n’en demeure pas moins que, comme pour les décrets d’application d’une loi nationale, il conviendra dans bien des cas de régler les détails pour acclimater le règlement à la pratique nationale. C’est à ce titre que la Cnil souligne l’urgence d’une réforme de la loi de 1978, déjà largement réformée en 2004 pour transposer la directive de 1995. L’article mentionne très précisément que le règlement européen comporte « 57 mentions ou renvois au droit des États membres » : de quoi légiférer ou prendre des dispositions par voie réglementaire (décrets et/ou arrêtés).
Mais il serait inconséquent d’oublier qu’avec le fameux RGDP, ont été adoptés deux autres textes constituant avec le règlement le « paquet données personnelles » de l’Union : la directive souvent dite « police et justice » et la directive dite PNR (Passenger name record), destinées l’une à harmoniser les règles d’échanges d’informations policières et judiciaires au sein des États membres et l’autre à mettre en place le fameux registre de passagers des transports aériens. En tant que directives, ces textes appellent inévitablement des transpositions dans chaque pays de l’Union. C’est ce que la Commission rappelle en termes voilés, observant simplement que le RGPD « n’est pas applicable à certains traitements de données, notamment les fichiers relatifs à la sécurité publique ».
Des délais malgré tout très courts
Il est cependant permis d’être inquiet sur les délais qui sont impartis pour réaliser une telle réforme d’ensemble de la loi et d’autres textes d’application, sachant que les pouvoirs publics ne retrouveront leurs esprits qu’une fois les deux campagnes électorales terminées, présidentielles et législatives, soit au plus tôt au début de l’été, en espérant que le Parlement siègera exceptionnellement pendant les vacances.
Malgré cela, le risque est de voir, soit des retards dangereusement pris dans la préparation, l’examen et le vote des textes sur ces sujets, soit à l’inverse des textes bâclés et trop vite votés qui une fois de plus donneront des textes absurdes comme on en voit tant fleurir ces dernières décennies.
Voir l’article du 27 mars dernier sur le site de la Cnil : https://www.cnil.fr/fr/les-enjeux-de-2017-2-disposer-imperativement-dune-nouvelle-loi-informatique-et-libertes-avant-mai-0
