Le gouvernement français a décidé de modifier le droit français en vue de l’entrée en vigueur du Règlement général pour la protection des données (RGPD) le 25 mai 2018. Bien que ce Règlement ne nécessite pas de transposition, un projet de loi a été mis en chantier et sera débattu en séance publique au Sénat les 20 et 21 mars 2018.
La commission vient de déposer le texte du projet de loi qui sera débattu, accompagné d’un rapport instructif sur les modifications apportées au texte.
Les collectivités territoriales aidées par le projet de loi “RGPD”
La rapporteure Mme Joissains a déposé plusieurs amendements visant à inclure les collectivités territoriales dans le dispositif d’information et de pédagogie impliquant la CNIL. Ces dernières bénéficieront maintenant d’une marge de manoeuvre pour s’adapter au RGPD.
Ainsi, un nouvel article 19 bis a été créé dans le projet de loi pour donner une dotation aux collectivités territoriales, à compter de 2019, pour les aider à financer la mise en conformité avec le RGPD. L’Etat versera à chaque collectivité 5 € par habitant entre 1 et 999 habitants, puis 2 € entre le 1 000e et le 4 999e habitant, puis 1 € entre le 5 000e et le 9 999e habitant, puis 0,1 € du 10 000e au 99 999e habitant, enfin 0,01 € au-delà du 100 000e habitant.
Les entreprises qui sont exclues, de fait, de ce dispositif, devront, elles, supporter l’intégralité du coût de leur mise en conformité.
La finalité d’intérêt public encore indéfinie
Concernant l’article 13 du projet de loi, seuls des amendements coordination et de cohérence ont été adoptés. Les changements profonds apportés au chapitre IX de la loi relative à l’informatique et aux libertés restent les mêmes que dans le projet de loi adopté à l’Assemblée nationale.
Tout traitement de données à caractère personnel dans le domaine de la santé devra répondre à une finalité d’intérêt public. Or, cette notion de finalité d’intérêt public n’a pas de définition et la loi se garde bien d’en donner une. La seule chose que l’on sait, c’est que la notion englobe “la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux“. Les acteurs voulant mettre en oeuvre un traitement de données de santé à caractère personnel seront donc soumis au bon vouloir de la CNIL qui, de décision en décision, affinera sa propre définition de l’intérêt public. C’est un peu contradictoire lorsque l’on sait que la loi a un objectif de simplification des procédures et de facilitation de traitement des données.
Au regard du contenu du texte de la commission, il est fort probable que les discussions au Sénat n’apportent guère d’évolutions, son adoption définitive devrait donc être rapide, n’oublions pas que la procédure accélérée a été engagée.
