Le RGPD (GDPR en Anglais), en tant que Règlement Européen, est d'application directe et n'a pas besoin d'être transposé en droit français. Il n'en demeure pas moins qu'il existe des conflits entre les lois existantes et ce nouveau texte ainsi que des marges de manoeuvre nationales. De plus, une directive relative à la protection des données personnelles des personnes physiques à l'égard des traitements de données personnelles - datant de 2016 - doit, elle, être transposée.

Afin d'éviter les conflits de textes et de préciser ce qui doit l'être, une loi est actuellement en cours d'examen au Parlement. Une étape importante a été franchie le 24 janvier 2018 avec l'adoption du projet en Commission des Lois de l'Assemblée Nationale. Le débat parlementaire est prévu la semaine du 5 février 2018.

Un texte gouvernemental amendé

Parmi les éléments du texte, il s'agit de modifier le rôle de la CNIL qui ne fera pratiquement plus de contrôles a priori mais essentiellement du contrôle a posteriori. Le consentement obligatoire des personnes, le droit à l'oubli, le droit à la portabilité, la notion de données sensibles... vont être renforcés. Les mineurs vont être davantage protégés (du moins en théorie).

Par rapport au texte gouvernemental, la Commission des Lois a modifié plusieurs points : l'élargissement de l'action de groupe (« class action à la française », à la demande du Conseil National des Barreaux présidé par Christiane Féral-Schuhl) pour l'ensemble des préjudices résultant de fuites ou de mauvais usages de données, abaissement de l'âge de connexion aux réseaux sociaux à 15 ans (au lieu de 16 dans le projet initial du gouvernement), rôle d'accompagnement des PME pour la CNIL... Le débat parlementaire devrait aborder davantage des thèmes tels que la protection des données scolaires, la transparence et la loyauté des algorithmes...