Protection des données (RGPD) : les 3 modifications de la loi au Sénat

Le projet de loi relatif à la protection des données visant à suradapter le droit français au RGPD reçoit petit-à-petit de nouvelles briques au fil des discussions au Parlement. Comme nous vous l’annoncions, les débats au Sénat ont repris le 20 mars et les sénateurs ont, dès la première journée, déjà apporté quelques modifications intéressantes à souligner. 

 

Les objets connectés intégrés dans la loi “RGPD”

Le groupe Union Centriste, par la voix de Catherine Morin-Desailly, a ajouté un alinéa non négligeable à l’article 1 du projet de loi. Cet alinéa précise que la CNIL peut décider de certifier des objets connectés, qui font l’objet d’une commercialisation directe auprès des consommateurs, afin de reconnaître officiellement qu’ils sont conformes au RGPD, mais pas seulement. La certification portera également sur la possibilité pour les utilisateurs de désactiver la collecte des données ainsi que sur la mise en oeuvre d’une sécurité répondant à des exigences élevées. 

M. Loïc Hervé. : “Ce qu’on vise, c’est l’usager. Alex Türk, ancien sénateur et président de la CNIL, a publié en 2011 un ouvrage qui vise les « naïfs », conscients des possibilités des réseaux, mais qui croient n’avoir « rien à cacher, rien à se reprocher ». Sept ans après, on y est encore. La CNIL parle également des véhicules connectés. Nous sommes à la préhistoire d’un bouleversement total.” 

Un décret devra définir les modalités de certification par la CNIL. 

Par effet domino, nous nous doutons bien que les entreprises commercialisant des objets connectés et qui n’obtiennent pas une telle certification RGPD risqueront d’être fortement pénalisées dans leur activité. Il n’y a qu’à espérer que la procédure de certification RGPD ne sera pas un parcours du combattant favorisant les grandes entreprises au détriment des petites qui n’auront pas les moyens de constituer les dossiers requis. 

 

La CNIL listera les traitements nécessitant une consultation préalable

Le groupe socialiste et républicain, par la voie de Sylvie Robert, a fait adopté un amendement important pour transformer une possibilité en obligation. En effet, jusqu’à maintenant l’alinéa 17 de l’article 1 du projet de loi disposait que la CNIL “peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 70-4“. 

Avec l’amendement le “peut établir” se transforme en “établit“. C’est-à-dire que la CNIL va dresser la liste de tous les types de traitements de données personnelles dites sensibles qui devront obligatoirement faire l’objet d’une consultation auprès d’elle. 

Cet amendement durcit le projet de loi car, à la lecture du RGPD, la consultation préalable de la CNIL n’est obligatoire que si l’analyse d’impact réalisée par le responsable du traitement décèle un risque élevé. Or, l’amendement adopté va plus loin que le RGPD et prévoit qu’une liste arbitraire obligera tous les responsables des traitements de données personnelles présents dans cette liste à consulter la CNIL, quel que soit le résultat de l’analyse d’impact. 

En réalité, tout dépendra de la manière dont la CNIL rédigera sa liste et décrira les traitements, l’amendement reste tout de même un joli tour de passe-passe pour les connaisseurs du RGPD… 

 

Le Sénat rend obligatoire le chiffrement des données personnelles

Par un amendement insérant un article additionnel relatif aux obligations du responsable du traitement, les sénateurs, portés par Marie-Thérèse Bruguière, ont créé l’obligation, quasi-systématique, de chiffrer les données personnelles traitées. Comment ? C’est simple, l’amendement adopté fait suite à l’article 34 de la loi informatique et libertés du 6 janvier 1978 disposant que “Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès“. 

L’amendement précise que les précautions utiles prises par le responsable du traitement l’obligent “chaque fois que cela est possible, [que] les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données“. 

Cet amendement est très aléatoire et pourrait faire s’arracher les cheveux à plus d’un responsable de traitement. D’abord, il signifie que toutes (oui, toutes) les données personnelles devront faire l’objet d’un chiffrement. Quand on connait l’étendue du champ des données personnelles gérées par une seule petite TPE qui peine déjà à préparer le RGPD, alors on commence à réaliser l’impact que cela aura… 

Et que veut dire l’expression “chaque fois que cela est possible” ? Qui évaluera le pourcentage de possibilité ? Dans le même temps on peut se demander comment les responsables de traitement vont faire pour chiffrer toutes les données personnelles déjà récupérées et qui n’auraient pas forcément fait l’objet d’un chiffrement. 

Cette mesure qui part sûrement d’un bon sentiment pourrait avoir un impact très important, probablement pas mesuré par les sénateurs, sur tous les traitements de données personnelles. 

Pour savoir si vous êtes prêt à faire face au RGPD répondez à nos questionnaires en cliquant ici

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer
Lire plus

[Best of 2024] Portabilité en santé et prévoyance collective : ce semi-revirement crucial pour les assurés et les assureurs

Article initialement publié le 27/02/2024 En plein cœur des vacances d'hiver parisiennes, la Cour de cassation rendait un arrêt capital sur le maintien des garanties collectives d'un assureur au profit d'anciens salariés : la portabilité. L'affaire est intéressante car elle mêle ce sujet du maintien de la couverture collective à un autre sujet épineux, celui de la liquidation judiciaire. Cette...
Lire plus

Catégories objectives : les 9 derniers agréments délivrés par l’Apec

Article mis à jour le 20/12/2024 à 15h30 Début décembre, la Commission paritaire de l’Association pour l’emploi des cadres (Apec) a validé 9 accords portant sur les catégories objectives de salariés. Ces accords définissent les salariés cadres et non-cadres éligibles au régime de protection sociale complémentaire collective. Nous vous invitons à découvrir ces 9 accords agréés. ...

François Bayrou agrée la convention sur l’assurance chômage

C'est le 15 novembre 2024 que les partenaires sociaux signaient leur nouvelle convention sur l'assurance chômage. Le texte vient d'être agréé par le Premier ministre François Bayrou avec quelques exclusions. Toutes les dispositions agréées s'appliqueront ainsi à compter du 1er janvier 2025. Retrouvez-en la teneur ci-dessous : ...