Les données personnelles et le droit français

Par Julie Gringore, Avocate Associée, Derby Avocats

Retour sur six mois de textes parus en droit français dans le prolongement de l’entrée en vigueur du Règlement CE RGPD, tant au niveau législatif et exécutif (1) qu’administratif (2).

Le Règlement Général sur la Protection des Données est entré en vigueur le 24 mai 2018 (voir précédent article du mois de mai 2018 sur le présent site) : tous les acteurs professionnels ont alors dû se mettre en conformité avec ces nouvelles exigences en matière de gestion de données personnelles, alors même que le législateur français n’a lui-même promulgué qu’ultérieurement une loi sur le sujet, et que la CNIL continue, plusieurs mois après, de rendre des délibérations pour son application…

Retour sur six mois de textes parus en droit français dans le prolongement de l’entrée en vigueur du Règlement CE RGPD, tant au niveau législatif et exécutif (1) qu’administratif (2).

1. Loi 2018-493 et Ordonnance 2018-1125

Sur le fond c’est tout d’abord la Loi 2018–493 du 20 juin 2018 qui a adapté la Loi informatique et libertés du 6 janvier 1978 ; ainsi, et à titre d’exemples :

  • la réforme faisant passer la France de son ancien système déclaratif à un système désormais de contrôle en aval, les dispositions relatives à l’obligation de déclaration préalable auprès de la CNIL ont essentiellement disparu, à quelques exceptions près (données de santé notamment) ;
  • corrélativement les pouvoirs de contrôle de la CNIL sont étendus, notamment pour les opérations en ligne, que les contrôleurs peuvent désormais réaliser sous une identité d’emprunt (art. 5 Loi 2018–493 du 20 juin 2018 / art. 44 Loi informatique et libertés du 6 janvier 1978).

Sur la forme c’est ensuite l’Ordonnance 2018–1125 du 12 décembre 2018 qui a plus récemment donné un « plan plus lisible, ordonné et cohérent » à la Loi du 6 janvier 1978 (selon les termes du compte rendu du Conseil des ministres du 12 décembre 2018, même si le nombre d’articles de ladite loi est à cette occasion passé de 72 à 128…) ; ainsi :

  • les nouvelles dispositions RGPD ont essentiellement été concentrées aux articles 42 à 86 de la Loi du 6 janvier 1978, concernant notamment le nouveau droit à la portabilité des données (art. 55), le Registre des activités de traitement et le Délégué à la protection des données (art. 57), ou encore l’analyse d’impact de protection des données (art. 62) ;
  • sans oublier les autres Codes concernés par ces mesures, tels que le Code pénal sanctionnant « d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés » (art. 226-22-2 Code pén.)

Toutefois cet édifice juridique n’en est toujours pas à son terme dès lors que cette dernière Ordonnance n’entrera en vigueur qu’en même temps que le futur Décret devant modifier le Décret informatique et libertés du 20 octobre 2005… mais ce tout de même au plus tard le 1er juin 2019.

2. Délibérations et Modèles CNIL

Parallèlement aux Pouvoirs législatif et exécutif, l’Administration œuvre également, au niveau de la CNIL, pour aider les utilisateurs à appliquer le droit en vigueur.

En premier lieu la CNIL multiplie les notes « pratiques » et autres modèles accessibles sur son site Internet cnil.fr, dont notamment à souligner un registre type permettant à tout organisme de recenser au moins les données à caractère personnel dont il assure le traitement (fichiers clients, salariés, fournisseurs, etc…)

En second lieu la CNIL a également récemment défini, aux termes de deux Délibérations du 11 octobre 2018 (2018–326 et 2018–327), les types d’opérations de traitement suffisamment risqués pour qu’une « analyse d’impact » soit requise (à savoir essentiellement en matière de santé, ressources humaines, localisation ou encore logements sociaux).

Néanmoins sur ce point non plus la CNIL n’a pas « dit son dernier mot », dès lors qu’elle doit encore prochainement publier une liste des traitements qui, à l’inverse, ne présentant pas de risque élevé, ne sont donc pas soumis à la réalisation d’une telle analyse d’impact.

***

Rendez-vous est donc d’ores et déjà pris en 2019 pour surveiller ces nouvelles dispositions à venir tant sur le plan réglementaire qu’administratif.

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…