Le projet de loi sur la protection des données personnelles et transposant un règlement et une directive de l’Union européenne sur ce sujet est en cours d’adoption au Parlement.  Comme l’indique la ministre de la Justice dans son discours de présentation, une telle protection revêt un intérêt particulier depuis l’avènement de l’ère du numérique puisque le partage et l’utilisation de telles données connaissent un développement spectaculaire. Elle rappelle aussi que cette protection représente un motif de préoccupation grandissant : 85 % des Français s’en disent soucieux, 90 % lorsqu’il s’agit de données apparaissant sur Internet.  La directive porte sur le recueil de données à des fins de prévention ou de détection des infractions pénales et pour les activités d’enquête. Elle donne à la personne concernée un droit à l’information et un droit d’accès, de rectification et d’effacement s’exerçant par principe de manière directe. Le règlement quant à lui porte sur un champ plus général : il conforte le droit à l’information des personnes physiques sur le recueil de leurs données personnelles, qui était déjà inscrit dans la loi du 6 février 1978, et en crée d’autres (notamment le droit de demander l’effacement des données ou leur transfert, notamment à un autre réseau). Surtout, l’entreprise devient responsable de la protection des données qui lui sont confiées (elle doit mettre en place les procédures les mieux adaptées, ce qui lui imposera souvent de renforcer ses procédures de sécurité) et, si elle n’a plus besoin de faire de déclaration préalable à la CNIL, doit tenir un registre sur les traitements mis en œuvre. La CNIL exerce désormais son contrôle a posteriori et la contrepartie est qu’elle peut infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné. En cas de violation ou de perte des données, l’entreprise a un devoir d’alerte dans un certain délai. Les personnes doivent donner de manière claire et exprès leur consentement « éclairé » à l’enregistrement de leurs données et à leur utilisation : ce consentement ne peut plus être présumé ou considéré comme implicite. Enfin, les entreprises qui effectuent des traitements sur des données sensibles (par exemple des données de santé) doivent nommer un DPO, Data personal officer, qui veille au respect de règles spécifiques. Le nouveau règlement entre en vigueur le 25 mai 2018. Les entreprises ne seront pas capables de répondre à certaines des nouvelles exigences formulées (transfert de données, registre, nomination d’un DPO. La CNIL a assuré qu’elle guiderait les entreprises sans les sanctionner, du moins au départ.