Edit au 21.03.18 : L’amendement a été déposé au Sénat par Madame la Sénatrice Marie-Thérèse Bruguière (LR), sous le numéro d’amendement 13. Il a cependant été retiré lors des discussions en séance publique à la suite d’un avis défavorable du rapporteur de la commission des lois Madame la Sénatrice Sophie Joissains, ainsi que du gouvernement par l’intermédiaire de la Garde des Sceaux Nicole Belloubet.
Nous vous en parlions récemment dans un article signé Aeon : le champ d’application de la loi Informatique & Libertés, tel qu’envisagé dans l’article 8 du projet de loi relative à la protection des données personnelles présenté par le gouvernement Philippe le 13 décembre 2017, et tel qu’adopté par l’Assemblée Nationale le 13 février 2018, n’est pas sans poser de sérieux soucis de cohérence et de lisibilité.
Il résulte en effet du texte, actuellement en cours d’examen par le Sénat, que la loi Informatique & Libertés aura un champ d’application différent, passé le 25 mai 2018, selon qu’elle s’appliquera seule ou en complément du nouveau Règlement Général sur la Protection des Données (GDPR), dont les critères d’application seront eux-mêmes encore différents. Il risque de résulter de cette divergence de critères des difficultés majeures en termes de lisibilité de la règle de droit, aussi bien pour les entreprises et organismes publics responsables de traitements de données à caractère personnel que pour les personnes concernées par ces traitements.
De surcroît, le critère retenu dans le projet de loi, parce qu’il est fondé sur le lieu de résidence de ces personnes concernées, obligerait les responsables de traitements à collecter cette donnée même lorsqu’elle n’est pas nécessaire pour les objectifs poursuivis par le traitement, aux seules fins de vérifier si, oui ou non, la loi française leur est applicable ; il en résulte une aggravation manifeste et indésirable de l’atteinte à la vie privée des personnes.
Enfin, pour peu que d’autres Etats membres aient choisi, dans le cadre de leur propre adaptation législative au GDPR, un critère différent, lié par exemple (plus classiquement) au lieu d’établissement du responsable du traitement, il pourrait résulter de l’application cumulative de la loi française et de la loi de ces autres Etats membres, chacune à raison de son critère propre, des conflits de loi proprement insolubles, source de contentieux infinis.
C’est pourquoi Aeon, passant de la théorie à la pratique, a choisi de proposer aux sénateurs et sénatrices de la République un amendement à l’article 8 du projet de loi d’adaptation au GDPR.
Cette proposition, que vous pouvez découvrir en intégralité ci-dessous, consiste à remplacer, dans cet article 8, le critère de résidence de la personne concernée par une série de critères analogues à ceux prévus par le règlement européen, dans un souci de meilleure articulation des différents textes.
L’amendement a finalement été déposé par Madame la Sénatrice Marie-Thérèse Bruguière, qu’Aeon remercie grandement pour son intérêt lié à ces problématiques.