Le législateur français vient de procéder à la réécriture complète de la loi Informatique et libertés (désormais désignée « LIL 4 ») dans le but de poursuivre la mise en conformité du droit français avec le règlement européen (UE)2016/67 9 du 27 avril 2016 dit « règlement général sur la protection des données » (« RGPD »).
Un objectif d’amélioration de la lisibilité de la réglementation applicable en matière de protection des données à caractère personnel
Le RGPD est d’application directe dans les Etats membres de l’Union européenne depuis le 25 mai 2018 mais laisse une marge de manœuvre aux législations nationales pour un certain nombre de dispositions visées spécifiquement par ce texte. Ainsi, la réglementation applicable en matière de protection des données à caractère personnel a désormais vocation à comporter à la fois des dispositions de droit européen et des dispositions spécifiques de droit national. Il était donc nécessaire d’avoir une articulation claire entre les textes applicables.
La loi Informatique et libertés avait déjà été récemment révisée à cette fin à l’occasion de l’adoption de la loi n°2018-593 du 20 juin 2018 (la « LIL 3 »), afin de clarifier les dispositions française au regard des nouvelles dispositions issues du RGPD. Toutefois, ce texte comportait certaines incohérences par rapport au texte européen (par exemple s’agissant des définitions, du régime d’information des personnes concernées, ou encore des modalités d’encadrement des flux transfrontières de données, qui n’étaient pas harmonisés).
L’ordonnance n°2018-1125 du 12 décembre 2018 est venue réécrire complètement la loi Informatique et libertés (désormais « LIL 4 »). Cette ordonnance a notamment le mérite d’apporter des corrections formelles au texte français en harmonisant par exemple avec le RGPD les définitions des terminologies employées mais également de rendre plus cohérent notre droit français avec le texte européen. Les nouvelles dispositions de la LIL 4 entreront en vigueur en même temps que le nouveau décret à venir devant être pris en application de cette loi, et au plus tard le 1er juin 2019.
Abandon des mentions d’information spécifiques en cas de collecte directe de données par voie de questionnaire
Parmi les nouveautés de ce texte, figure notamment l’abandon d’une ancienne spécificité du droit français en matière d’information des personnes concernées. En effet, la refonte en juin dernier de la loi Informatique et libertés (LIL 3) au regard des nouvelles dispositions du RGPD n’avait pas remis en cause l’obligation à la charge du responsable de traitement en droit français de fournir aux personnes concernées des informations spécifiques sur tout questionnaire de collecte de données lorsque le recueil des données à caractère personnel était effectuée par voie de questionnaire ou de formulaire. Dans une telle hypothèse, aux termes de la loi française, certaines mentions d’information spécifiques devaient figurer sur le questionnaire ou formulaire de collecte, à savoir a minima les informations suivantes :
- l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
- la finalité poursuivie par le traitement auquel les données sont destinées ;
- le caractère obligatoire ou facultatif des réponses (par l’insertion d’un astérisque par exemple) ;
- les droits dont dispose la personne concernée : droit d’interrogation et d’accès, droit de rectification, droit à l’effacement, droit d’opposition, droit à la limitation du traitement, droit à la portabilité, droit de définir des directives post-mortem,…
Si les textes alors en vigueur limitaient les informations obligatoires à faire figurer sur tout questionnaire ou formulaire de collecte de données à caractère personnel aux quatre mentions précitées, une mention d’information complète devait toute de même être fournie dans son intégralité à la personne concernée via tout autre support, dont le choix résultait des circonstances de la collecte (politique générale de protection des données en ligne, documentation contractuelle, etc.). Il en résultait une double obligation d’information : une, bien que limitée, devant figurer sur le formulaire de collecte de données, et une autre, complète, devant en tout état de cause être fournie sur un autre support, au plus tard lors de la collecte des données.
Le nouvel article 48 de la loi Informatique et libertés (LIL 4) se limite désormais à renvoyer aux articles 12 à 14 du RGPD s’agissant du droit à l’information des personnes concernées. Or, aux termes de ces dispositions, il n’est pas fait de distinction en fonction du support de collecte (questionnaire de collecte de données ou autres). Le contenu de l’information varie uniquement en fonction de l’origine de la collecte (les informations à fournir étant différentes selon qu’il s’agit d’une collecte directe ou indirecte auprès de la personne concernée).
La nouvelle rédaction du texte français semble donc venir supprimer l’obligation de faire figurer une information sur tout formulaire de collecte de données, une information des personnes concernées devant toujours en tout état de cause être portée à la connaissance de ces dernières au plus tard lors de la collecte de leurs données.
Toutefois, ce nouveau texte n’est pas encore entré en vigueur et la version actuelle de la loi Informatique et libertés telle qu’applicable à ce jour (cf. LIL 3) impose toujours cette mention d’information sur les questionnaires de collecte de données. En outre, le fait de faire figurer sur les formulaires de collecte de données une information a minima à l’attention des personnes concernées pourrait être considéré comme une bonne pratique en termes de lisibilité et d’accessibilité de l’information par les personnes concernées, et pourrait donc avoir vocation à demeurer une pratique fortement recommandée, notamment par la Cnil.
Aussi, il convient de conserver à ce jour la prudence appropriée s’agissant de la suppression formelle de l’obligation d’information « sur les questionnaires de collecte de données », et de déployer un processus de veille juridique s’agissant de la position de la Commission nationale de l’informatique et des libertés (Cnil) sur ce sujet qui apportera sans doute des éclairages importants quant aux répercussions pratiques de cette nouveauté introduite par la LIL 4.
Par AGIL’IT – Pôle IT & Data protection
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate