A la suite de l'adoption du Règlement européen sur la protection des données personnelles (ou RGPD)1 et de la Directive portant sur la protection des données personnelles par les autorités à des fins de prévention des infractions pénales, d'enquêtes et de poursuites ou d'exécution de sanctions pénales2, la plupart des Etats membres de l'Union européenne a décidé de réécrire les législations nationales sur la protection des données personnelles. En France, le législateur a fait le choix de conserver la loi informatique et libertés et de la réécrire en intégralité.

Mais bien entendu, la loi informatique et libertés n'est pas le seul texte régissant la protection des données à caractère personnel, tous ces textes ont été ou encore seront modifiés petit à petit.

LE POINT SUR LES MODIFICATIONS INTERVENUES JUSQU'A PRESENT

Pour les personnes travaillant sur la protection des données personnelles, les années qui viennent de s'écouler ont été riches en rebondissements.

Ainsi, entre le mois de juillet 2015 et le mois de janvier 2017, la loi informatique et libertés a été modifiée à 5 reprises, à un niveau plus ou moins

important. A titre d'exemple, l'action de groupe en matière de protection des données a été introduite dans la loi française avant l'entrée en application du RGPD, les sanctions financières susceptibles d'être prononcées par la CNIL sont également passées de 150 000€ à 3 millions d'euros à la fin de l'année 2016.

Par la suite, le législateur français a adopté la loi du 20 juin 20183 qui a réécrit une partie de la loi informatique et libertés, notamment le chapitre sur les missions de la CNIL, ou encore sur les traitements de données de santé. Mais cette loi a également prévu qu'une ordonnance devrait réécrire les autres dispositions de la loi.

Cette loi du 20 juin 2018 a également été suivie, le 1er août 2018, d'un décret modifiant le décret d'application de la loi informatique et libertés4.

L'ordonnance5 prévue par la loi du 20 juin, a été publiée le 13 décembre 2018 et dispose que la nouvelle version de la loi informatique et libertés entrera en vigueur en même temps que la publication de la nouvelle version du décret d'application de la loi informatique et libertés.

L'ARTICULATION DE LA FUTURE LOI INFORMATIQUE ET LIBERTES

La future loi informatique et libertés comporte 5 titres portant sur :

  • TITRE Ier Dispositions communes (articles 1er à 41)
  • TITRE II Traitements relevant du régime de protection des données à caractère personnel prévu par le RGPD (articles 42 à 86)
  • TITRE III Dispositions applicables aux traitements relevant de la directive portant sur la protection des données personnelles par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales (articles 87 à 114)
  • TITRE IV Dispositions applicables aux traitements intéressant la sûreté de l'état et la défense (articles 115 à 124)
  • TITRE V Dispositions relatives à l'outre- mer (articles 125 à 128).

En conséquence, les organismes du secteur privé et du secteur public n'intervenant pas en matière de prévention, détection et poursuite des infractions ou encore en matière de sûreté de l'état et de la défense sont concernés par les seuls articles 1 à 86. Ils devront également connaître les articles 125 à 128 s'ils sont implantés outre-mer.

LE TRAVAIL DU LECTEUR

Cependant, pour connaitre les obligations à respecter, les personnes travaillant sur ces questions doivent avoir conscience que la lecture de la loi informatique et libertés n'est pas suffisante. En effet, le RGPD est d'application directe.

En conséquence, en fonction des articles, la nouvelle loi se contente parfois d'un renvoi pur et simple au RGPD6, parfois d'un renvoi accompagné d'un complément7, parfois d'aucun renvoi8. Dans cette dernière hypothèse, le lecteur devra donc aller consulter directement le RGPD.

Le lecteur ne doit donc pas être surpris de ne pas trouver certaines de ces dispositions dans la loi française. Et surtout, si un organisme se contente de respecter la loi informatique et libertés, il risque de ne pas être conforme au RGPD.

Sur d'autres points, le lecteur ne devra pas être surpris de trouver dans la loi, des dispositions qui ne figurent ni dans le RGPD, ni dans la directive précitée sur le traitement des infractions. C'est le cas de la section dédiée au traitement des données de santé.

Le lecteur doit également se souvenir que le RGPD comporte de nombreux renvois à la loi nationale. C'est le cas notamment de son article 87 qui renvoie à la loi nationale sur la question liée au traitement de l'identifiant national. Ces dispositions, relatives au traitement du numéro de sécurité sociale figureront à l'article 30 de la future loi.

A cet égard, l'article 3 II de la loi informatique et libertés prévoit que les règles nationales prises sur le fondement des dispositions du même règlement, renvoyant au droit national le soin d'adapter ou de compléter les droits et obligations prévus par ce règlement, s'appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n'est pas établi en France.

La future loi comporte également des dispositions qui ne figurent pas dans le RGPD, mais qui reprennent des spécificités qui ont été insérées dans la loi informatique et libertés avant l'entrée en application du RGPD. C'est le cas par exemple du droit pour les personnes concernées de disposer de leurs données personnelles après leur mort.

LES SUITES ...

Le décret d'application à venir précisera certainement un grand nombre de points. C'est peut-être le cas par exemple en matière de droit des personnes, de traitement des données de santé, des modalités de désignation du délégué à la protection des données.

PENDANT CE TEMPS LA CNIL AVANCE...

Depuis de nombreux mois, la CNIL s'adapte à ce nouvel environnement.

On notera tout d'abord que le montant des sanctions financières qu'elle prononce est plus important qu'auparavant. En effet, alors même qu'à ce jour la CNIL n'a pas encore prononcé de sanctions correspondant à des violations de la loi survenues après l'entrée en application du RGPD, les dernières sanctions financières prononcées s'élèvent à 100 000€9, 250 000€10 ou encore à 400 00011€.

D'un autre côté, la CNIL a déjà rendu public certains projets de document pour appel à contribution, c'est le cas notamment du projet de règlement type relatif à la biométrie sur le lieu de travail, des projets de référentiels sur la gestion des impayés et la gestion commerciale.

Footnotes

1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

2. Directive (UE) 2016/680 du parlement européen et du conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

3. Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles

4. Décret n° 2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

5. Ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel

6. C'est le cas par exemple de l'article 55 sur le droit à la portabilité

7. C'est le cas par exemple de l'article 48 sur le droit à l'information des personnes

8. A titre d'exemple, la future loi ne comporte aucun renvoi explicite vers les articles du RGPD concernant le délégué à la protection des données, ou encore sur les transferts de données hors de l'Union Européenne par un organisme du secteur privé

9. Délibération n°SAN-2018-001 du 8 janvier 2018

10. Délibération n°SAN-2018-012 du 26 décembre 2018

11. Délibération n°SAN-2018-011 du 19 décembre 2018

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.