Protection des données (RGPD) : les 3 modifications de la loi au Sénat

Le projet de loi relatif à la protection des données visant à suradapter le droit français au RGPD reçoit petit-à-petit de nouvelles briques au fil des discussions au Parlement. Comme nous vous l’annoncions, les débats au Sénat ont repris le 20 mars et les sénateurs ont, dès la première journée, déjà apporté quelques modifications intéressantes à souligner. 

 

Les objets connectés intégrés dans la loi “RGPD”

Le groupe Union Centriste, par la voix de Catherine Morin-Desailly, a ajouté un alinéa non négligeable à l’article 1 du projet de loi. Cet alinéa précise que la CNIL peut décider de certifier des objets connectés, qui font l’objet d’une commercialisation directe auprès des consommateurs, afin de reconnaître officiellement qu’ils sont conformes au RGPD, mais pas seulement. La certification portera également sur la possibilité pour les utilisateurs de désactiver la collecte des données ainsi que sur la mise en oeuvre d’une sécurité répondant à des exigences élevées. 

M. Loïc Hervé. : “Ce qu’on vise, c’est l’usager. Alex Türk, ancien sénateur et président de la CNIL, a publié en 2011 un ouvrage qui vise les « naïfs », conscients des possibilités des réseaux, mais qui croient n’avoir « rien à cacher, rien à se reprocher ». Sept ans après, on y est encore. La CNIL parle également des véhicules connectés. Nous sommes à la préhistoire d’un bouleversement total.” 

Un décret devra définir les modalités de certification par la CNIL. 

Par effet domino, nous nous doutons bien que les entreprises commercialisant des objets connectés et qui n’obtiennent pas une telle certification RGPD risqueront d’être fortement pénalisées dans leur activité. Il n’y a qu’à espérer que la procédure de certification RGPD ne sera pas un parcours du combattant favorisant les grandes entreprises au détriment des petites qui n’auront pas les moyens de constituer les dossiers requis. 

 

La CNIL listera les traitements nécessitant une consultation préalable

Le groupe socialiste et républicain, par la voie de Sylvie Robert, a fait adopté un amendement important pour transformer une possibilité en obligation. En effet, jusqu’à maintenant l’alinéa 17 de l’article 1 du projet de loi disposait que la CNIL “peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 70-4“. 

Avec l’amendement le “peut établir” se transforme en “établit“. C’est-à-dire que la CNIL va dresser la liste de tous les types de traitements de données personnelles dites sensibles qui devront obligatoirement faire l’objet d’une consultation auprès d’elle. 

Cet amendement durcit le projet de loi car, à la lecture du RGPD, la consultation préalable de la CNIL n’est obligatoire que si l’analyse d’impact réalisée par le responsable du traitement décèle un risque élevé. Or, l’amendement adopté va plus loin que le RGPD et prévoit qu’une liste arbitraire obligera tous les responsables des traitements de données personnelles présents dans cette liste à consulter la CNIL, quel que soit le résultat de l’analyse d’impact. 

En réalité, tout dépendra de la manière dont la CNIL rédigera sa liste et décrira les traitements, l’amendement reste tout de même un joli tour de passe-passe pour les connaisseurs du RGPD… 

 

Le Sénat rend obligatoire le chiffrement des données personnelles

Par un amendement insérant un article additionnel relatif aux obligations du responsable du traitement, les sénateurs, portés par Marie-Thérèse Bruguière, ont créé l’obligation, quasi-systématique, de chiffrer les données personnelles traitées. Comment ? C’est simple, l’amendement adopté fait suite à l’article 34 de la loi informatique et libertés du 6 janvier 1978 disposant que “Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès“. 

L’amendement précise que les précautions utiles prises par le responsable du traitement l’obligent “chaque fois que cela est possible, [que] les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données“. 

Cet amendement est très aléatoire et pourrait faire s’arracher les cheveux à plus d’un responsable de traitement. D’abord, il signifie que toutes (oui, toutes) les données personnelles devront faire l’objet d’un chiffrement. Quand on connait l’étendue du champ des données personnelles gérées par une seule petite TPE qui peine déjà à préparer le RGPD, alors on commence à réaliser l’impact que cela aura… 

Et que veut dire l’expression “chaque fois que cela est possible” ? Qui évaluera le pourcentage de possibilité ? Dans le même temps on peut se demander comment les responsables de traitement vont faire pour chiffrer toutes les données personnelles déjà récupérées et qui n’auraient pas forcément fait l’objet d’un chiffrement. 

Cette mesure qui part sûrement d’un bon sentiment pourrait avoir un impact très important, probablement pas mesuré par les sénateurs, sur tous les traitements de données personnelles. 

Pour savoir si vous êtes prêt à faire face au RGPD répondez à nos questionnaires en cliquant ici

Ajouter aux articles favoris
Please login to bookmark Close
0 Shares:
Vous pourriez aussi aimer
Lire plus

Ce que la CNAM attend vraiment des assureurs et professionnels de santé pour faire des économies

Le rapport « Charges et produits » de la caisse nationale de l'assurance maladie (CNAM) pour 2026 ne se contente pas d’alerter sur la trajectoire déficitaire de la branche. Il avance également 60 propositions destinées à redresser durablement les comptes, dans un effort assumé de transformation systémique. Dans ...

Négoce de l’ameublement : un accord de participation agréé par la ministre du travail

Un arrêté de la ministre du travail, daté du 24 juin 2025, porte agrément d’un accord conclu dans la convention collective du négoce de l’ameublement (IDCC 1880). Cet arrêté a été publié au Journal officiel du 27 juin 2025. Il s’agit de l’accord du 5 novembre 2024, tel que modifié par l'avenant n° 1 du 13 mai 2025, relatif à la participation dans la...

CNNCEFP : nomination d’un nouveau suppléant au sein de la sous-commission emploi-formation

Un arrêté de la ministre du travail, daté du 24 juin 2025 et publié au Journal officiel du 27 juin, modifie la composition de la Commission nationale de la négociation collective, de l’emploi et de la formation professionnelle (CNNCEFP) et de ses sous-commissions. Sur proposition de la FESAC, Florian Dutreuil est nommé en qualité de suppléant au sein de la sous-commission de l’emploi, de l’orientation et de la formation professionnelles, en remplacement de Jean-Yves...