Les données personnelles et le droit français

Le Règlement Général sur la Protection des Données est entré en vigueur le 24 mai 2018 (voir précédent article du mois de mai 2018 sur le présent site) : tous les acteurs professionnels ont alors dû se mettre en conformité avec ces nouvelles exigences en matière de gestion de données personnelles, alors même que le législateur français n’a lui-même promulgué qu’ultérieurement une loi sur le sujet, et que la CNIL continue, plusieurs mois après, de rendre des délibérations pour son application…

Retour sur six mois de textes parus en droit français dans le prolongement de l’entrée en vigueur du Règlement CE RGPD, tant au niveau législatif et exécutif (1) qu’administratif (2).

  1. Loi 2018-493 et Ordonnance 2018-1125

Sur le fond c’est tout d’abord la Loi 2018–493 du 20 juin 2018 qui a adapté la Loi informatique et libertés du 6 janvier 1978 ; ainsi, et à titre d’exemples :

  • la réforme faisant passer la France de son ancien système déclaratif à un système désormais de contrôle en aval, les dispositions relatives à l’obligation de déclaration préalable auprès de la CNIL ont essentiellement disparu, à quelques exceptions près (données de santé notamment) ;
  • corrélativement les pouvoirs de contrôle de la CNIL sont étendus, notamment pour les opérations en ligne, que les contrôleurs peuvent désormais réaliser sous une identité d’emprunt (art. 5 Loi 2018–493 du 20 juin 2018 / art. 44 Loi informatique et libertés du 6 janvier 1978).

Sur la forme c’est ensuite l’Ordonnance 2018–1125 du 12 décembre 2018 qui a plus récemment donné un « plan plus lisible, ordonné et cohérent » à la Loi du 6 janvier 1978 (selon les termes du compte rendu du Conseil des ministres du 12 décembre 2018, même si le nombre d’articles de ladite loi est à cette occasion passé de 72 à 128…) ; ainsi :

  • les nouvelles dispositions RGPD ont essentiellement été concentrées aux articles 42 à 86 de la Loi du 6 janvier 1978, concernant notamment le nouveau droit à la portabilité des données (art. 55), le Registre des activités de traitement et le Délégué à la protection des données (art. 57), ou encore l’analyse d’impact de protection des données (art. 62) ;
  • sans oublier les autres Codes concernés par ces mesures, tels que le Code pénal sanctionnant « d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés » (art. 226-22-2 Code pén.)

Toutefois cet édifice juridique n’en est toujours pas à son terme dès lors que cette dernière Ordonnance n’entrera en vigueur qu’en même temps que le futur Décret devant modifier le Décret informatique et libertés du 20 octobre 2005… mais ce tout de même au plus tard le 1er juin 2019.

2. Délibérations et Modèles CNIL

Parallèlement aux Pouvoirs législatif et exécutif, l’Administration œuvre également, au niveau de la CNIL, pour aider les utilisateurs à appliquer le droit en vigueur.

En premier lieu la CNIL multiplie les notes « pratiques » et autres modèles accessibles sur son site Internet cnil.fr, dont notamment à souligner un registre type permettant à tout organisme de recenser au moins les données à caractère personnel dont il assure le traitement (fichiers clients, salariés, fournisseurs, etc…)

En second lieu la CNIL a également récemment défini, aux termes de deux Délibérations du 11 octobre 2018 (2018–326 et 2018–327), les types d’opérations de traitement suffisamment risqués pour qu’une « analyse d’impact » soit requise (à savoir essentiellement en matière de santé, ressources humaines, localisation ou encore logements sociaux).

Néanmoins sur ce point non plus la CNIL n’a pas « dit son dernier mot », dès lors qu’elle doit encore prochainement publier une liste des traitements qui, à l’inverse, ne présentant pas de risque élevé, ne sont donc pas soumis à la réalisation d’une telle analyse d’impact.

***

Rendez-vous est donc d’ores et déjà pris en 2019 pour surveiller ces nouvelles dispositions à venir tant sur le plan réglementaire qu’administratif.

Julie Gringore