Thierry Lazaro
Question N° 64076 au Ministère de la justice
Question soumise le 16 septembre 2014
M. Thierry Lazaro attire l'attention de Mme la secrétaire d'État, auprès du ministre de l'économie, de l'industrie et du numérique, chargée du numérique, sur l'étude que vient de publier le Conseil d'État consacrée au numérique et aux droits fondamentaux. Il souhaite savoir si le Gouvernement compte mettre en oeuvre la proposition n° 14 visant à créer un certificat de conformité (rescrit "données personnelles").
Réponse émise le 16 mai 2017
Dans son étude annuelle consacrée au numérique et aux droits fondamentaux, le Conseil d'État propose que soit créé un certificat de conformité sous forme de « rescrit données personnelles » (proposition no 14). Selon l'étude, ce rescrit aurait pour but d'assurer la licéité des traitements des organismes qui pourraient être soumis au préalable à l'autorité de contrôle. Selon ce mécanisme, la charge de l'examen de cette licéité serait portée intégralement sur la commission nationale de l'informatique et des libertés (CNIL). Il convient d'abord de rappeler que le règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, qui sera applicable à compter du 25 mai 2018, prévoit la suppression de la plupart des procédures de consultation et d'autorisation préalables au profit d'études d'impact qui devront être réalisées par les responsables de traitement. Cependant, en vertu de l'article 36 du règlement, le responsable de traitement sera tenu de saisir la CNIL lorsque l'étude d'impact révèle que l'opération de traitement comporte un risque élevé si le responsable du traitement ne prenait pas de mesures pour l'atténuer. Cela étant, le règlement prévoit également d'autres dispositions de nature à permettre la mise en conformité de traitements de données comme la mise en place de codes de conduite « destinés à contribuer à la bonne application » du règlement précité (article 40.1.) ou encore de mécanismes de certification qui ont pour objet de « démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent » le règlement (article 42.1). Ces mécanismes sont déjà partiellement anticipés par la loi pour une République numérique du 7 octobre 2016 qui permet à la CNIL de « certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité [à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés] de processus d'anonymisation des données à caractère personnel » (article 60 de cette loi). Compte tenu de ce qui précède, il ne paraît pas, en l'état, nécessaire de créer une procédure de rescrit devant la CNIL.
Aucun commentaire n'a encore été formulé sur cette question.