La mission d’information sur les conséquences de l’entrée en vigueur du règlement général sur la protection des données (RGPD) sur la loi française indiquait un calendrier très serré à respecter pour être dans les temps. Êtes-vous confiante ?
Le calendrier fixé était le suivant : juin 2017, rapport sur les modifications de la loi Cnil issues du RGPD, en application de la loi Lemaire, et dépôt du projet de loi ; fin des travaux législatifs « avant la fin de l’année », puis « éventuels décrets d’application » pour une entrée en vigueur au plus tard en mai 2018, date limite pour se mettre en conformité. Relire notre article La refonte de la loi Cnil, chantier numérique prioritaire du prochain gouvernement. Sur les principaux points du règlement, relire notre article d'avril 2016 "Données personnelles : habemus une réforme européenne".
Pour le moment, nous n’avons pas assez d’éléments pour avoir une vision précise du calendrier. Nous avons besoin qu’un texte soit prêt et déposé en Conseil des ministres sous une forme ou une autre au plus tard en septembre, compte tenu du processus législatif.
Cette loi Cnil 2 n’est pas une fantaisie, ce bout de loi nationale est un élément indispensable qui permet au RGPD d’être effectivement mis en œuvre à compter du 25 mai 2018.
Avez-vous déjà des ébauches ?
Oui, depuis plusieurs semaines déjà nous travaillons avec la chancellerie un premier squelette des différents sujets qui doivent être abordés.
La technique législative est encore en discussion : des ordonnances ou un texte de loi, ce point doit être arbitré au niveau du cabinet du Premier ministre.
Le RGPD présente quelques marges de manœuvre pour les États membres, faisant craindre le risque du forum shopping et une nouvelle fragmentation des législations. Le rappel à l’ordre de l’Allemagne par la Commission est-il symptomatique de ce point de vue ? Redoutez-vous aussi ces risques ?
L’Allemagne a reçu une lettre de recadrage de Bruxelles car elle a pris trop de libertés avec le règlement.
L’objectif du règlement est l’harmonisation maximum et il est partagé par tous les régulateurs, Cnil comprise. Il ne faut pas le détricoter par des textes de loi nationaux contradictoires avec cet objectif. Les marges de manœuvre pourraient aller dans ce sens. En tant que régulateur national, nous étudions si nous mobilisons ces marges nationales ou pas.
Qu’est-ce qui pourrait vous inciter ou pas à utiliser ces marges de manœuvre ?
L’article 193 de la loi du 26 janvier 2016 de modernisation de notre système de santé crée le système national des données de santé. Synthèse des dispositions.
Sur les données de santé, nous venons d’adopter une loi sur la santé qui change le dispositif d’encadrement des grands traitements de données de santé. Je ne sais pas s’il est opportun de le changer complètement et de considérer qu’il n’y a plus aucune autorisation préalable, comme c’est le cas avec le règlement.
Quels autres enseignements tirez-vous des travaux d’adaptation déjà menés par d’autres États membres ?
Il est trop tôt pour le dire, l’Allemagne est un cas particulier, avec la volonté de redonner de la puissance à l’autorité fédérale, la loi allemande traite tout cela. Les quelques lois en préparation ou adoptées sont, sur le plan de la substance, assez cohérentes avec le texte du RGPD.
Sur quels points la discussion pourrait-elle achopper et retarder l’adoption du texte ?
C’est un texte relativement technique. Une partie de la loi Cnil actuelle est "aspirée" à un niveau supérieur dans le règlement et l’exercice consiste à toiletter ce qui reste dans la loi Cnil et ce qui est aspiré par le RGPD.
Il faut ajouter dans la loi les dispositions rendues nécessaires par le RGPD, notamment concernant les procédures. L’articulation de notre procédure de sanction nationale avec ce qui est prévu dans le règlement, le principe de "consistency" (cohérence) n’existe pas aujourd’hui. Le RGPD transforme la Cnil autorité nationale de protection en une autorité de réseau : nous ferons partie à partir de mai 2018 d’un réseau opérationnel qui va prendre des sanctions communes.
Ce ne sont pas des sujets controversés, le débat peut porter sur la technique législative et l’utilisation ou pas des marges de manœuvre.
Si les entreprises françaises sont en retard sur leur mise en conformité, prévoyez-vous une période de "tolérance" ?
Il ne faut pas voir le RGPD comme un couperet en 2018. Nous allons tous ensemble, à partir de mai 2018, pratiquer le RGPD et les nouvelles relations qu’il suscite entre le régulateur et les entreprises. Il est construit sur l’idée qu’on substitue aux formalités préalables de l’accountability et, le cas échéant, des sanctions. Cette accountability doit être élaborée en collaboration avec les régulateurs. Une conversation régulatoire beaucoup plus régulière que dans le passé va se mettre en place. Notre idée, en France, est d'offrir, à partir de la doctrine élaborée dans le passé, des référentiels sectoriels aux entreprises pour leur permettre de piloter leur conformité et d’avoir une certaine sécurité juridique par rapport à des sanctions potentielles très élevées.
il faut déconstruire cette idée qu’il y aura un coup de tonnerre en mai 2018 et que, comme des petits soldats, il faut que les entreprises soient prêtes à 100 %.
Qui peut être prêt à 100 % sur des questions de données alors qu’elles sont aussi distribuées qu’elles le sont aujourd’hui ? Ce ne serait pas raisonnable. Les régulateurs – et la Cnil en particulier – sont pleinement conscients de cette situation. Nous nous mettons en ordre de marche et nous préparons des outils pour les assister dans leur équipement progressif.
Vous évoquiez aussi un pack de conformité pour les aider, où en sont ces travaux ?
Nous sommes en train d’y travailler pour les PME. Un projet espagnol est déjà quasiment finalisé, nous voudrions nous en inspirer pour développer un outil français de même nature. Je voudrais avoir une proposition pour la fin de l’année.