L’objectif du RGPD est de renforcer la protection des données personnelles des citoyens européens et d’unifier les législations nationales de chaque état membre de l’union. Il introduit de nouveaux principes majeurs, notamment, le renforcement des droits des personnes dont les données sont collectées, les notions de Privacy by design et Privacy by default, le principe d’Accountability, la notion de responsabilité conjointe des traitements, ou encore la désignation obligatoire dans certain cas d’un délégué à la protection des données.

Ses dispositions seront directement applicables dans tous les Etats membres. Toutefois le règlement européen comporte de nombreux renvois au droit de chaque Etat membre, laissant à ces derniers la possibilité d’adapter leur droit national avec les nouvelles dispositions.

Le considérant 10 du RGPD fait référence à ces renvois aux droits nationaux des Etats membres. Il y est précisé que le niveau de protection des droits des personnes devrait être équivalent dans tous les Etats membres, et qu’il convient dès lors «  d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union ».

Puis il ajoute que dans certaines matières, « il y a lieu d’autoriser les Etats membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du règlement », ou encore qu’il « existe plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises ».

Le règlement laisse ainsi une marge de manœuvre aux Etats membres. Il en résulte que des disparités entre les différents membres de l’Union Européenne pourront exister en matière de protection des données personnelles.

Pour intégrer les nouvelles obligations réglementaires, la France devra donc, avant le 25 mai 2018, adapter en profondeur la Loi du 6 janvier 1978 Informatique, Fichiers et Libertés, sous peine, selon la CNIL, « de rendre très largement inapplicable le nouveau cadre de protection en France ».

La CNIL a identifié près de 57 renvois au droit des États membres dans le RGPD.

Le chapitre IX du RGPD, intitulé « Dispositions relatives à des situations particulières de traitement  », dresse la liste des sujets sur lesquels les États membres pourront prévoir des dérogations ou des précisions. Il s’agit notamment des traitements suivants :
 Les traitements réalisés à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire : les Etats membres pourront prévoir « des exemptions ou des dérogations au règlement (…) si celles-ci sont nécessaires pour concilier le droit à la protection des données à caractère personnel de la liberté d’expression et d’information  » (Article 85 du règlement) ;

 Le traitement et l’accès du public aux documents officiels  : afin de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données personnelles, le règlement précise que « les données personnelles figurant dans des documents officiels détenus par une autorité publique, un organisme public ou un organisme privé pour l’exécution d’une mission d’intérêt public peuvent être communiquées par ladite autorité ou organisme conformément au droit de l’Union ou au droit de l’État membre auquel est soumis l’autorité publique ou l’organisme public » (Article 86 du règlement) ;

 Le traitement du NIR (Numéro d’Identification National) : selon le RGPD, « les Etats membres peuvent préciser les conditions spécifiques du traitement d’un numéro d’identification national  ». Ce numéro ne doit être utilisé « que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée adoptées par le règlement  » (Article 87 du règlement) ;

 Le traitement des données dans le cadre des relations de travail : le règlement précise que s’agissant du traitement des données personnelles des employés, « les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés  », lesquelles devront comprendre « des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées  » (Article 88 du règlement) ;

 Le traitement à des fins de recherche scientifique ou historique, ou à des fins statistiques  : selon le RGPD, le droit d’un Etat membre peut prévoir des dérogations aux droits visés aux articles 15 du règlement (Droit d’accès), 16 (Rectification et effacement), 18 (Droit à la limitation du traitement) et 21 (Droit d’opposition), « dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités » (Article 89 du règlement) ;

  Le traitement de données personnelles obtenues dans le cadre d’une activité couverte par le secret professionnel  : les Etats membres peuvent adopter des règles spécifiques « afin de définir les pouvoirs des autorités de contrôle à l’égard des responsables du traitement ou des sous-traitants qui sont soumis, en vertu du droit de l’Union ou du droit d’un Etat membre, à une obligation de secret professionnel  » (Article 90 du règlement).

Outre le chapitre IX précité, le règlement européen comporte plusieurs autres renvois au droit des États membres, pour compléter les règles existantes. C’est notamment le cas :
 Des conditions applicables au consentement des enfants  : selon le règlement, le traitement des données personnelles relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Le RGPD précise que les États membres peuvent prévoir par la loi un âge inférieur pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans (Article 8 du règlement) ;

 Des données concernant la santé (dont la définition est d’ailleurs élargie par le règlement) : «  Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé » (Article 9 du règlement) ;

 Des données relatives aux condamnations pénales et aux infractions  : le RGPD prévoit que le traitement de telles données « ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées » (Article 10 du règlement) ;

 Des traitements effectués dans le cadre d’une mission d’intérêt public  : les États membres peuvent décider « que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable » à la mise en place de tels traitements (Article 36 du règlement) ;

 De l’étendue des pouvoirs de l’autorité de contrôle  : chaque État membre peut prévoir par la loi que son autorité de contrôle dispose de missions ou de pouvoirs additionnels à ceux visés au RGPD (Article 58 du règlement) ;

 Des voies de recours  : le RGPD permet aux personnes dont les données ont été collectées de mandater des organismes, organisations ou associations afin d’introduire une réclamation en leur nom devant l’autorité de contrôle et d’obtenir réparation de leur préjudice. Là encore le règlement prévoit que les États membres pourront préciser l’étendue des pouvoirs de ces organismes, et ce indépendamment de tout mandat (Article 80 du règlement) ;

 Des sanctions applicables en cas de violation  : les États membres devront déterminer le régime de sanctions de certains manquements, qui doivent être « effectives, proportionnées et dissuasives », et prendre toutes les mesures nécessaires pour garantir leur mise en œuvre (Article 84 du règlement).

Les États membres devront notifier à la Commission certaines des règles ainsi adoptées en dérogation ou précision du règlement, au plus tard le 25 mai 2018.

Outre ces amendements pouvant être induits par les renvois aux droits nationaux expressément visés par le texte, d’autres adaptations (ajouts ou suppressions) à la Loi du 6 janvier 1978 devraient être envisagées par le législateur français, notamment pour tenir compte des incompatibilités ou des redondances de celle-ci avec le règlement.

C’est le cas par exemple des définitions (Article 4 du règlement), des dispositions relatives aux droits et consentement des personnes dont les données sont collectées (Article 7 du règlement, article 12 et suivants), des principes à respecter relatifs aux traitements et à la licéité de ceux-ci (Art. 5 et suivants du règlement) ou encore des règles sur les obligations des responsables de traitements (Art. 12 et suivants).

Enfin, devront être prises en compte les dispositions de la directive européenne dite « police-justice » [1] adoptée le même jour que le règlement du 27 avril 2016, applicable aux traitements en matière de sécurité publique et de recherche et répression des infractions pénales. Cette directive qui doit être transposée en droit français a pour but de faciliter l’échange d’informations entre les autorités policières et judiciaires nationales, tout en garantissant des droits aux personnes concernées par la collecte et le traitement de leurs données personnelles.

• 
  Intéressant, Marion BARBEZIEUX, 29 septembre 2017

  Enfin un article clair et concis sur ce sujet !
• 
  Merci, Gérard Ducrey, 5 octobre 2017

  Article informatif et remarquable. Bravo