J’étais tranquillement en train d’écrire ma dernière chronique de l’année 2018 sur les tendances dans les contrats IT (nouveaux contrats, nouvelles clauses et nouvelles démarches de négociation) et patatras une urgence tombe sur mon téléscripteur. Ne vous inquiétez pas cela sera pour une prochaine fois…
L’objet de mon léger (euphémisme) courroux : le Conseil des ministres du 12 décembre.
Rien à voir avec la question de l’augmentation du Smic, pas plus que la remise en cause de la CSG pour les retraités ou la désocialisation et défiscalisation des heures supplémentaires, non…
Mon courroux : l’annonce de l’ordonnance prise en application de l’article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.
Je rappelle le contexte pour ceux qui n’ont pas suivi…
Le RGPD est applicable à compter du 25 mai 2018. Une loi (qui n’est pas une loi d’application mais quand même) et qui aurait sans doute dû être adoptée un peu avant (mais on fait ce qu’on peut) a été adoptée le 20 juin dernier.
Nous avions invité quelqu’un, notamment l’Acsel, dont j’ai le plaisir d’être administrateur et responsable de la Commission juridique, à expliquer à nos parlementaires que cette loi n’était pas compatible avec le RGPD. Nous avions suggéré de reporter l’adoption du texte… et de disposer une bonne fois pour tout d’un texte conforme.
Avons-nous été entendus ? Non. Ecoutés… si on veut, mais sous une forme assez … surréaliste.
En effet, la loi comportait un article 32 qui autorisait le Gouvernement, je cite, à « la réécriture de l’ensemble de la loi de 1978 ».
Plus que la réécriture, c’est le fondement même de cette réécriture qui m’a fait bondir à l’époque :
- apporter les corrections formelles : passons…
- apporter les adaptations nécessaires à la simplification : pourquoi pas…
- apporter de la cohérence ainsi que de la simplicité à la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement: incroyable vous dis-je…
Circulez, il n’y a rien à voir, NulaLex, SedLex…
Mes clients ont été nombreux à me demander comment appliquer cette loi, comment gérer les incohérences, faut-il ou non appliquer les nouvelles règles qui pouvaient être remises en cause 6 mois après par une ordonnance… que leur répondre sinon d’attendre l’ordonnance et donc de prendre des risques !
Mais aujourd’hui je suis encore plus énervé.
A l’époque du projet de loi, même si nous n’avions pas été beaucoup entendus, nous avions au moins été poliment écoutés. De nombreuses auditions se sont tenues avant l’élaboration du projet de loi (sur l’impact du RGPD en droit français) et beaucoup d’autres sur le projet lui-même ont été organisées par les deux assemblées. Mieux encore, je rappelle que la LRN avait fait l’objet d’un débat public.
Et là … nous apprenons tout de go (je le tire du site du Gouvernement lui-même) qu’une ordonnance a été présentée en Conseil des ministres du 12 décembre…
Et que ce texte a deux ambitions :
Et mieux, cette ordonnance a été publiée au journal officiel aujourd’hui 13 décembre 2018 ….
Je ne doute pas un seul instant que je sois le seul à ne pas avoir été consulté, voir même le seul à ne pas avoir eu le projet d’ordonnance…
À 4% ou 20% de risque, je ne doute pas que les DPO (dont certains ont une expérience de plusieurs années pour avoir été CIL avant) ont été consultés, que leurs associations l’ont été aussi, qu’il en a été de même des acteurs de la donnée, des pionniers de la donnée innovante (acteur de l’IA par exemple), des juristes IT ou les avocats e-tech, des associations professionnelles, du numérique ou non.
Si je suis le seul à ne pas avoir été invité au bal alors tant pis pour moi… mais je crains fort qu’il n’en soit rien… que l’on nous impose une V6 du droit des données personnelles sans consultation.
On me dira que je suis ronchon et surtout qu’il n’y a qu’à attendre la loi de mise en œuvre pour faire des éventuelles adaptations, mais l’on ne sait que trop bien que cela ne sert à rien et qu’une fois l’ordonnance adoptée les jeux sont faits.
Ami DPO ou juriste IT, soyez heureux, le père Noël a pensé à vous…
Vous ne saviez pas quel bouquin demander à vos proches de vous offrir : demandez-leur l’ordonnance sur les données personnelles… en plus elle est gratuite !
Bonne fêtes à tous et bon courage