Pour adapter le droit français au droit européen des données personnelles, le gouvernement a fait le choix symbolique de conserver la loi de 1978. Un choix louable, mais une gageure.
Le 6 janvier 2018, la loi Informatique et libertés fête ses 40 ans. Elle aurait pu disparaître en 2018 avec l’application du RGPD. Mais « le gouvernement a fait le choix de conserver, dans un souci d’intelligibilité, l’architecture de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les modifications apportées à notre droit par ce projet de loi seront codifiées, par voie d’ordonnance, dans la loi fondatrice de 1978 afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique », pouvait-on lire dans le compte-rendu du Conseil des ministres du 13 décembre 2017, date à laquelle la ministre de la Justice, Nicole Belloubet, a présenté le projet de loi. Au vu du texte qui a été rendu public, on ne peut que regretter la loi originelle, modèle de concision et d’accessibilité au droit qui a su si bien résister au temps.
Le 25 mai 2018, le règlement général pour la protection des données et la directive relative aux fichiers de la sphère pénale deviennent applicables. Pour ce nouveau cadre juridique, l’exposé des motifs du projet de loi indique que, « le gouvernement a fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978 ». Même si la plupart des principes de la loi originelle restent valables, comme l’a rappelé Jean Lessi (voir l’interview de Jean Lessi, secrétaire général de la Cnil, p. 17), les changements européens heurtent la cohérence du texte. Beaucoup d’articles de la loi de 1978 sont en effet modifiés pour les rendre compatibles avec le droit de l’Union, mais aussi pour tirer parti des marges de manœuvres laissées par le règlement (il en existe 56) ou pour transposer la directive.
La Cnil ou le Conseil d’Etat qui ont donné leur avis sur le projet de loi déplorent tous deux son manque de lisibilité. Déjà sur la forme, les multiples renvois à d’autres textes et les suppressions d’articles rendent la lecture impossible. Pour garantir l’accessibilité du droit, « le Conseil d’État propose que la publication numérique à l’initiative des pouvoirs publics de la loi de 1978 soit obligatoirement opérée en étant assortie d’un lien informatique avec le texte pertinent du règlement (UE) 2016/679, chaque fois que la loi mentionne une de ses dispositions ».
Sur le fond, le Conseil d’Etat invite à une grande vigilance car, vu la charge qui est désormais transférée aux responsables de traitement en termes de coût et de responsabilité accrue avec les risques qu’elle comporte, la loi doit être « la plus précise et la plus claire pour assurer un environnement robuste à leur prise de décision ». Le Conseil regrette d’ailleurs que le coût de la mise en œuvre de ce texte, pour les entreprises comme pour le secteur public, n’ait pas été analysé.
De son côté, la Cnil qui dénonce l’intelligibilité du texte admet que sa complexité était en partie inévitable du fait de la contrainte de combiner textes européens et français. Néanmoins, le choix législatif retenu, loi plus ordonnance, a aggravé la situation. Dans son avis, la Commission considère que « cet enjeu de lisibilité dépasse la seule structuration technique du texte. Il conditionne la pleine effectivité des droits des citoyens et des obligations des différents acteurs.(…) La Commission appelle dès lors de ses vœux l’adoption des plus rapprochées de l’ordonnance annoncée, ainsi qu’une réécriture du droit français conforme aux principes ci-dessus, de manière à ce que la loi du 6 janvier 1978 puisse donner un mode d’emploi clair, ce qui est démocratiquement l’une de ses vocations ».
Etienne Drouard, avocat, beaucoup plus sévère, dénonce « une modification de la loi dite Cnil, rendant le texte complet (Cnil+RGPD) illisible, combinée au toilettage - mais au Kärcher- d’autres dispositions de la loi Cnil, par voie d’ordonnance cette fois, sans débat de fond ni concret. Nous pourrons ainsi être bien certains qu’après deux vagues de réécritures successives, on ne puisse plus retrouver dans ce labyrinthe refermé, les dispositions du RGPD telles qu’elles ont été chapitrées, articulées et précisées à la virgule près. »
La Cnil, consultée tardivement sur le projet de loi, soulève également la question du calendrier retenu pour l’adaptation du droit français. Dès lors, elle estime que « le projet de loi constitue à certains égards une occasion manquée de procéder à un réexamen global du droit de la protection des données en France, de compléter le dispositif législatif sur certains points et d’approfondir les droits des personnes pour les traitements entrant dans le champ de la directive ainsi que pour ceux situés en dehors du champ du droit de l’Union. »
Les délais pour l’adoption et l’entrée en vigueur, avant mai 2018, du projet de loi mais aussi de tous les textes réglementaires afférents sont très serrés. C’est la raison pour laquelle le gouvernement a engagé la procédure d’urgence, avec une seule lecture pour les deux chambres. Un timing peu propice à un vrai débat public sur ce sujet de société.
Sylvie ROZENFELD