Monsieur le sénateur, le projet de loi relatif à la protection des données personnelles, qui sera débattu à partir du mois de février prochain, vise en réalité à adapter la loi Informatique et libertés de 1978 à un nouveau cadre juridique européen composé d’un règlement et d’une directive, laquelle devra être transposée avant le 25 mai 2018.
Ce règlement et le texte français qui le transpose instaurent de nouveaux droits pour les citoyens, en particulier – c’est très important – un droit à l’effacement des données et un droit à la portabilité des données personnelles. Le cadre juridique sécurisé ainsi dessiné permettra de renforcer la confiance des citoyens dans l’utilisation qui est faite de leurs données personnelles.
Pour répondre précisément à la question que vous posez, monsieur le sénateur, il faut dire que le règlement constitue un cadre très protecteur pour l’ensemble des Européens en matière de données personnelles. Il est applicable à l’ensemble des entreprises et de leurs sous-traitants, quel que soit leur lieu d’implantation, dès lors qu’ils offrent des biens et des services à des personnes résidant sur le territoire de l’Union européenne.
C’est évidemment une avancée tout à fait considérable qui permet à la France de garder un rôle moteur dans ce domaine. Dans ce cadre uniformisé, les pouvoirs de la CNIL sont considérablement renforcés, puisqu’elle disposera d’un pouvoir de sanction, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé.
En cas de contentieux, les juridictions nationales et/ou européennes pourront également être saisies et intervenir par rapport aux entreprises américaines. De plus, la France a souhaité être associée au « bouclier vie privée », adopté par la Commission européenne en 2016, qui permet les transferts de données des entreprises européennes vers les États-Unis. La France a rappelé la nécessité, pour l’administration américaine, de garantir un niveau de protection équivalent au standard européen. Ainsi, c’est une nouvelle forme de souveraineté que notre pays a promu au sein de l’Union européenne en matière de données personnelles.