Transformation numérique et cyber risque : tout savoir sur la réforme de la Loi Informatique et Libertés lié au RGPD et à la potection des données
Retour sur le nouveau projet de loi sur les données personnelles

Un projet de loi révisant la Loi Informatique et Libertés datant de 1978 et préparant le droit français à l’entrée en vigueur RGPD a été largement adopté la semaine dernière.

Que contient le nouveau projet de loi sur les données personnelles ?

Mais que contient cette nouvelle loi et que va-t-elle changer exactement dans le contexte actuel de cyber risque ?

 

Pourquoi a-t-on prévu cette loi sur la protection des données personnelles ?

 Avant l’entrée en vigueur le 25 mai prochain du RGPD, la France se prépare à aligner son droit sur celui de l’Union Européenne. Ce dernier sera en effet applicable tel quel sur les entreprises (Européennes ou non) et leurs sous-traitants qui collectent et conservent les données personnelles des citoyens européens. L’Assemblée Nationale a donc dû examiner ce projet de loi, dans la lignée de la transformation numérique des entreprises, pour que le droit Français puisse être conforme au prochain règlement.

 

Comment le texte pourra-t-il protéger les données à caractère personnel ?

En plus d’une plus grande transparence pour les internautes, ainsi que le droit à l’effacement et à la portabilité des données, la nouvelle loi ajoutera plusieurs points inédits au RGPD, qui rassureront 85% de Français préoccupés par la protection de leurs informations personnelles.

 

Cybersécurité : la majorité numérique sera fixée à 15 ans

D’abord, la majorité numérique est désormais fixée à 15 ans (le RGPD la fixe à 16 ans, avec possibilité pour les Etats-membres de l’abaisser jusqu’à 13 ans). Cela signifie qu’ « un mineur peut consentir seul à un traitement de données à caractère personnel », et qu’il pourra officiellement s’inscrire sur un réseau social ou toute autre plateforme qui requiert des données personnelles lorsqu’il aura atteint l’âge de 15 ans. En–dessous de 13 ans, la collecte d’informations sera interdite. Entre 13 et 15 ans, l’accord des parents sera nécessaire. Cette mesure renforce la cybersécurité des mineurs, même si elle reste difficilement applicable en pratique.

 

La fin du contrôle a priori pour les entreprises

La nouvelle loi remplace également le système de contrôle des entreprises a priori – avec des déclarations et des autorisations préalables – par un contrôle a posteriori (basé sur la responsabilisation des acteurs). Exception faite pour les sociétés traitant de sujets sensibles telles que les informations biométriques. De plus, les entreprises collectant des données seront responsables de ces informations privées, et en cas de vol, perte ou divulgation, devront en informer rapidement les autorités compétentes (la CNIL en France). Les amendes encourues en cas de non-respect seront celles du RGPD (4% du chiffre mondial annuel ou 20 millions d’euros). Les entreprises auront donc tout intérêt à avoir recours à des prestataires externes qui pourront leur garantir la protection et la sécurité de leurs données (notamment via la certification ISO 27001 de leurs systèmes de management de la sécurité).

 

Une possibilité d’action de groupe pour une indemnisation financière

Le nouveau projet de loi introduit désormais la possibilité d’actions de groupe pour demander réparation de préjudices subis (d’ordre matériel ou moral), dans le cas d’un manquement à la protection des données personnelles de la part d’une entreprise. Cette action de groupe pourra aller à l’encontre d’un responsable de traitement de données mais également d’un sous-traitant.