image

Le projet de loi relatif à la protection des données personnelles adopté par l'Assemblée nationale en 1re lecture

Précédent

Le projet de loi relatif à la protection des données personnelles adopté par l'Assemblée nationale en 1re lecture

Infos
Informations
13/02/2018
Dernière mise à jour : 13/02/2018
Suivant

Le projet de loi relatif à la protection des données personnelles surnommé "CNIL 3" destinée à intégrer et transposer le « paquet » protection des données (règlement (UE) 2016/679, "RGPD" et directive (UE) 2016/680 « prévention et détection des infractions pénales ») a été adopté par les députés le 7 février dernier et voté dans son ensemble le 13 février 2018 (505 voix pour, 18 contre). Cette "petite loi" sera étudiée au Sénat en mars prochain pour suivre son chemin vers l'adoption au plus tard le 25 mai 2018, concomitamment à l'entrée en vigueur du RGPD.

Les dernières modifications apportées par les députés au projet de loi d'origine sont peu nombreuses, la plupart des amendements ayant été rejetés. En voici certaines :

• L'âge légal du consentement des mineurs, ou la "majorité numérique" a été fixé à 15 ans, et non à 16 ans comme le prévoyait le Gouvernement. Ce régime de consentement des mineurs est complété par la règle de double consentement parent + enfant pour les mineurs qui ont entre 13 et 15 ans. Rappelons que le RGPD accorde aux États membres une certaine flexibilité en la matière en fixant à 16 ans et moins l'âge où le consentement de l'enfant et/ou de l'autorité parentale est nécessaire, l'âge minimal du consentement valide des mineurs ne pouvant descendre sous la barre de 13 ans (art. 14 A créant art. 7-1 de la loi n° 78-17).

• L'exclusion du régime spécial prévu pour les traitements de données à caractère personnel ayant une finalité d'intérêt public de recherche, d'étude ou d'évaluation dans le domaine de la santé, des traitements mis en œuvre aux fins d'assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ;

• ... et la consécration de la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux comme une finalité d'intérêt public justifiant ce type de traitements de données à caractère personnel dans le domaine de la santé (art. 13 remplaçant chap. IX de la loi n° 78-17).

• Les transferts de données vers des États non-membres de l'Union européenne sont permis en absence d'une décision d'adéquation de la Commission européenne vis-à-vis d'un Étant non-membre si un instrument juridiquement contraignant (convention avec cet État ou "dispositions juridiquement contraignantes exigées à l'occasion de l'échange de données") fournit des garanties appropriées en ce qui concerne la protection des données à caractère personnel ou, en l'absence d'une telle décision et d'un tel instrument, le responsable de traitement a évalué toutes les circonstances du transfert et estime qu'il existe de telles garanties appropriées (art. 19 créant art. 70-25 de la loi n° 78-17).