RGPD un an après : parachèvement du cadre juridique et application dans les entreprises

Décret n°2019-536 du 29 mai 2019 pris pour l'application de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

L’entrée en vigueur du Règlement Général sur la Protection des Données le 24 mai 2018 n’était que la ligne de départ du processus de refonte des textes français en la matière, laquelle vient de s’achever avec le Décret 2019-536 du 29 mai 2019 (1), ce qui n’a toutefois pas empêché les entreprises de commencer à adapter leurs traitements de données personnelles dans l’intervalle depuis un an déjà (2).

1. Entrée en vigueur le 1er juin 2019 du Décret 2019-536

Après la Loi 2018-493 du 20 juin 2018 et l’Ordonnance 2018-1125 du 12 décembre 2018, qui ont respectivement adapté puis « ordonné » la Loi informatique et libertés du 6 janvier 1978 (voir précédent article du mois de décembre 2018), manquait encore le décret leur permettant d’entrer en vigueur, et qui était prévu pour le 1er juin 2019 au plus tard ; c’est donc chose faite, tout juste en temps utile avec le Décret 2019-536 publié le 30 mai 2019, « pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ».

Fondamentalement, ce dernier texte permet surtout à l’ensemble normatif de recevoir désormais application, ainsi que le mentionne sa notice introductive selon laquelle « le décret tire les conséquences de forme et de fond de la loi n°78-17 du 6 janvier 1978 dans sa version résultant de l’ordonnance n°2018-1125 du 12 décembre 2018. Il harmonise l’état du droit, adapte certaines règles de procédures devant la CNIL. Il précise les droits des personnes concernées. Il abroge le décret n°2005-1309 du 20 octobre 2005 ».

En amont, la CNIL s’était prononcée sur le projet de ce décret selon avis du 9 mai 2019, estimant certes les objectifs de mise en cohérence et de clarification atteints, mais émettant plusieurs observations en vue d’améliorer encore plus efficacement la sécurité juridique des usagers, d’une part, et d’encadrer certaines procédures de contrôle, de mise en demeure et de sanction, d’autre part ; dans un communiqué publié en aval le 3 juin 2019, la CNIL a estimé que nombre de ses observations avaient dûment été prises en compte par le Gouvernement dans le décret finalement publié.

Si les droits et obligations en matière de protection des données personnelles doivent donc désormais être clairement appréhendés par chacun depuis l’entrée en vigueur de ce dernier décret, en pratique les organismes traitant de telles données ont dû commencer à s’adapter de manière effective dans l’intervalle du fait notamment du caractère immédiatement applicable du Règlement européen dès le 24 mai 2018.


2. Application du RGPD : premier anniversaire le 24 mai 2019

L’importante campagne de communication qui a entouré l’entrée en vigueur du RGPD le 24 mai 2018, et parallèlement les scandales à répétition qui ont concerné des utilisations non consenties de données par certains réseaux sociaux, ont entraîné une forte prise de conscience des enjeux en la matière de part et d’autre.

Ainsi, du côté des usagers, une attention plus scrupuleuse et une demande de protection plus effective a fait augmenter de 30 %, entre mai 2018 et mai 2019, les plaintes adressées à la CNIL (plus de 11 900 en France, et 144 376 au niveau européen).

L’intérêt pour les professionnels d’intégrer ainsi les nouveaux dispositifs RGPD n’est donc plus purement et simplement normatif mais devient en outre un véritable outil de communication, afin de répondre positivement aux attentes des usagers en termes de respect de leurs données personnelles ; à titre d’exemple, plus de 53 000 organismes sont actuellement recensés par la CNIL comme ayant d’ores et déjà désigné un Délégué à la Protection des Données.

Cependant, des progrès restent encore à faire en faveur des organismes traitant des données personnelles ; si la CNIL leur vient certes en aide en multipliant des notes « pratiques » et autres modèles accessibles sur son site Internet, certaines délibérations annoncées se font encore attendre, telle que la publication de la liste des traitements pour lesquels une « analyse d’impact » n’est pas requise, conformément à ce que prévoit l’article 35.5 du RGPD.

Après une première année de mise en place normative, et une action pour l’instant plus pédagogique que répressive de la CNIL, cette dernière prévient néanmoins, notamment aux termes d’un récent communiqué du 23 mai 2019, qu’elle vérifiera désormais « pleinement le respect des nouvelles exigences » dans l’instruction des plaintes et dans ses contrôles… Mieux vaut donc être prêt, d’autant plus que la CNIL complète ce dernier communiqué en précisant qu’à défaut « elle en tirera au besoin toutes les conséquences, y compris en termes de sanction », lesquelles sont essentiellement financières.

A rapprocher : Décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…