La loi du 20 juin 2018 a permis l'adaptation de la loi “Informatique et libertés” du 6 janvier 1978 au “Paquet Européen, de protection des données”. Elle met ainsi en conformité la loi du 6 janvier 1978 avec le Règlement général sur la protection des données (RGPD) du 27 avril 2016 directement applicable dans tous les pays européens depuis le 25 mai 2018. Elle transpose également la directive “police” du 27 avril 2016 sur les fichiers en matière pénale. Le changement principal réside dans l'évolution des missions de la Commission nationale de l'informatique et des libertés (CNIL) dont les pouvoirs de contrôle et de sanction sont étendus. Ces préoccupations ne sont pas nouvelles car, depuis 2006, une journée mondiale de protection des données a lieu chaque année et se tiendra prochainement le 28 janvier 2019…
Les modifications apportées à la CNIL
La loi a prévu de nouvelles missions pour la CNIL :
établir et publier des lignes directrices,
recommandations ou référentiels destinés à faciliter la mise en conformité des traitements et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants
(1) ; encourager l'élaboration de
codes de conduite par les acteurs traitant des données ; produire et publier des
règlements types en vue d'assurer la sécurité des systèmes de traitement et de régir les traitements de...
Les modifications apportées à la CNIL
La loi a prévu de nouvelles missions pour la CNIL :
- établir et publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants (1) ;
- encourager l'élaboration de codes de conduite par les acteurs traitant des données ;
- produire et publier des règlements types en vue d'assurer la sécurité des systèmes de traitement et de régir les traitements de données biométriques, génétiques et de santé (2) ;
- de certifier des personnes, produits, des systèmes de données ou des procédures (3);
- de lister des fichiers pénaux pouvant présenter un risque élevé pour les droits et libertés des personnes (4).
La CNIL peut être consultée par le Président de l'Assemblée nationale, du Sénat ou par leurs commissions ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données (5).
Désormais, peuvent faire l'objet de visites par les agents de la CNIL : lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d'un traitement de données à caractère personnel (6).
La loi redéfinit le secret professionnel que le responsable des lieux peut opposer aux agents (7). Une identité d'emprunt est possible pour les contrôles en ligne (8).
Une coopération est possible entre la CNIL et les autorités de contrôle des autres Etats membres de l'Union européenne. L'objectif étant d'apporter une même réponse aux citoyens de plusieurs pays européens en cas d'atteinte au droit à la vie privée (9).
Les sanctions de la CNIL se trouvent étendues et mieux adaptées telles que le prononcé d'une astreinte (10), le retrait d'une certification (11), le retrait d'un agrément (12) ou l'augmentation des montants des sanctions administratives (13).
L'élargissement du champ des données sensibles
Certaines données (origine raciale, ethnique, opinion politique, etc.), sont considérées comme sensibles et ne doivent pas faire l'objet de traitement. La loi étend cette interdiction aux données génétiques et biométriques ainsi qu'aux données relatives à l'orientation sexuelle (14).
A noter que des
dérogations à l'interdiction sont néanmoins prévues :
- par le droit européen si la personne a expressément consenti au traitement de ses données ou si elle les a rendues publiques notamment dans le domaine de la santé ;
- par la loi du 20 juin 2018. Les traitements de données biométriques sont possibles s'ils sont strictement nécessaires aux contrôle d'accès sur les lieux de travail, aux ordinateurs et aux applications utilisés au travail (15). De même sur la réutilisation d'informations figurant dans les décisions de justice (16).
Les possibilités offertes par le RGPD
Le règlement instaurant le RGPD octroie aux Etats membres des marges de manoeuvre. Néanmoins la loi maintient :
- les traitements comportant le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR), sauf exception (17) ;
- les traitements intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet la prévention et la répression des infractions pénales ;
- les traitements des données de santé justifiés par une finalité d'intérêt public.
Des catégories particulières de données font l'objet d'un régime spécifique (exemple : santé, infractions, condamnations ou mesures de sûreté connexes).
Le traitement des données peut être effectué par une liste élargie de personnes (18).
Concernant les actions de groupe, les citoyens peuvent dorénavant se faire représenter par des associations ou organismes actifs pour exercer en leur nom un recours devant les tribunaux ou la CNIL.
D'autres changements notables ont été apportés notamment la majorité numérique fixée à 15 ans (19).
Références :
(1) Article 1-4°-c) de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 11-I-2°- a bis) de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(2) Article 1-4°-d) de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 11-I-2°-b) de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(3) Article 1-4°-e) de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 11-I-2°-f bis) de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(4) Article 1-5° de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 11-I-4°-a) de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(5) Article 5-2°-a) de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 44-I de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(6) Article 5-3° de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 44-III de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(7) Article 5-4° de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 44-III de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(8) Article 6 de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et articles 49, 49-1, 49-2, 49-3, 49-4, 49-5 de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(9) Article 7-III-2° de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 45-III- 2° de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(10) Article 7-III-4° de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 45-III-4° de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(11) Article 7-I-2° art 48 de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 48 de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(12) Article 7-I-2° Art45-III-7° de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 45-III-7° de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(13) Article 8-1° de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 8-I de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(14) Article 8-2°-c) de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 8-II-9° de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(15) Article 8-2°-c) de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 8-II-10° de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(16) Article 11-I de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 22 de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(17) Article 11-II de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 27 de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(18) Article 20 de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 7 de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(19) Article 21-I de la Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et article 10-2° de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Commenter cet article