Les modifications apportées à la CNIL

La loi a prévu de nouvelles missions pour la CNIL :

  • établir et publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants (1) ;
  • encourager l'élaboration de codes de conduite par les acteurs traitant des données ;
  • produire et publier des règlements types en vue d'assurer la sécurité des systèmes de traitement et de régir les traitements de données biométriques, génétiques et de santé (2) ;
  • de certifier des personnes, produits, des systèmes de données ou des procédures (3);
  • de lister des fichiers pénaux pouvant présenter un risque élevé pour les droits et libertés des personnes (4).

La CNIL peut être consultée par le Président de l'Assemblée nationale, du Sénat ou par leurs commissions ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données (5).

Désormais, peuvent faire l'objet de visites par les agents de la CNIL : lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d'un traitement de données à caractère personnel (6).

La loi redéfinit le secret professionnel que le responsable des lieux peut opposer aux agents (7). Une identité d'emprunt est possible pour les contrôles en ligne (8).

Une coopération est possible entre la CNIL et les autorités de contrôle des autres Etats membres de l'Union européenne. L'objectif étant d'apporter une même réponse aux citoyens de plusieurs pays européens en cas d'atteinte au droit à la vie privée (9).

Les sanctions de la CNIL se trouvent étendues et mieux adaptées telles que le prononcé d'une astreinte (10), le retrait d'une certification (11), le retrait d'un agrément (12) ou l'augmentation des montants des sanctions administratives (13).

L'élargissement du champ des données sensibles

Certaines données (origine raciale, ethnique, opinion politique, etc.), sont considérées comme sensibles et ne doivent pas faire l'objet de traitement. La loi étend cette interdiction aux données génétiques et biométriques ainsi qu'aux données relatives à l'orientation sexuelle (14).

A noter que des dérogations à l'interdiction sont néanmoins prévues :
  • par le droit européen si la personne a expressément consenti au traitement de ses données ou si elle les a rendues publiques notamment dans le domaine de la santé ;
  • par la loi du 20 juin 2018. Les traitements de données biométriques sont possibles s'ils sont strictement nécessaires aux contrôle d'accès sur les lieux de travail, aux ordinateurs et aux applications utilisés au travail (15). De même sur la réutilisation d'informations figurant dans les décisions de justice (16).

Les possibilités offertes par le RGPD

Le règlement instaurant le RGPD octroie aux Etats membres des marges de manoeuvre. Néanmoins la loi maintient :
  • les traitements comportant le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR), sauf exception (17) ;
  • les traitements intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet la prévention et la répression des infractions pénales ;
  • les traitements des données de santé justifiés par une finalité d'intérêt public.
Des catégories particulières de données font l'objet d'un régime spécifique (exemple : santé, infractions, condamnations ou mesures de sûreté connexes).

Le traitement des données peut être effectué par une liste élargie de personnes (18).

Concernant les actions de groupe, les citoyens peuvent dorénavant se faire représenter par des associations ou organismes actifs pour exercer en leur nom un recours devant les tribunaux ou la CNIL.

D'autres changements notables ont été apportés notamment la majorité numérique fixée à 15 ans (19).