Mercredi 20 juin 2018, le Président de la République a promulgué la loi n° 2018-493 relative à la protection des données personnelles.
Cette Loi vient adapter la Loi Informatique et Libertés n°78/17 du 6 janvier 1978, modifiée en 2004, au Règlement général sur la protection des données à caractère personnel (RGPD) n°2016/679 du 27 avril 2016.
Malgré son statut de règlement, le RGPD laissait la possibilité aux Etats membres d’adopter certaines dispositions spécifiques dans certains domaines.
Suite à l’adoption définitive de la Loi, le Conseil constitutionnel a été saisi afin de contrôler la conformité du projet de Loi à la Constitution.
Les sénateurs contestaient notamment l’article 13 qui modifie l’article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes. Cet article prévoit que de tels traitements peuvent être effectués « sous le contrôle de l’autorité publique ». Le Conseil constitutionnel a censuré sur ce point la Loi, tous les autres articles de la Loi étant estimés conformes à la Constitution.
Les principales modifications introduites par la Loi du 20 juin 2018 portent sur :
- Les pouvoirs de la CNIL ;
- La suppression des formalités préalables ;
- L’exercice des droits des personnes concernées.
La Loi a également fixé l’âge auquel un mineur peut donner son consentement à un traitement de données en ce qui concerne l’offre directe de services de la société de l’information : l’âge de 15 ans a été reconnu.
Les dispositions relatives à la CNIL
La CNIL a désormais la possibilité de certifier des personnes, des produits, des systèmes de données ou des procédures.
Les contrôleurs de la Cnil pourront désormais procéder à des contrôles en ligne sous une identité d’emprunt, sans incidences sur la régularité des constations.
Enfin, la Loi encadre les relations entre la CNIL et ses homologues européens dans leur devoir de coopération.
La suppression des formalités préalables
Les formalités préalables (autorisation, déclaration) auprès de la Cnil sont supprimées.
Néanmoins des formalités sont maintenues pour des traitements spécifiques :
- Un décret en Conseil d’état sera pris afin de déterminer les catégories de responsables de traitement autorisés à procéder au traitement du numéro d’inscription au répertoire des personnes physiques (numéro de sécurité sociale);
- Une autorisation sera nécessaire pour les traitements d’infractions ou de données sensibles intéressants la sureté de l’Etat.
L’exercice des droits par les personnes concernées
La nouvelle Loi prévoit la possibilité pour plusieurs personnes physiques placées dans une situation similaire et ayant subi un dommage d’introduire des actions de groupe.
Enfin et conformément au RGPD, la Loi nouvelle intègre la terminologie des droits prévus par le règlement :
- Droit d’opposition ;
- Droit d’accès ;
- Droit de rectification ;
- Droit d’effacement ;
- Droit à la limitation. La Loi nouvelle parle du droit de verrouiller les données ;
- Droit à la portabilité.
Ces nouveautés viennent donc s’ajouter aux dispositions du RGPD, auquel il sera également nécessaire de se référer pour évaluer la licéité de tout traitement de données à caractère personnel.
Pour un panorama des nouveautés du RGPD, vous pouvez consulter https://www.village-justice.com/articles/les-grands-principes-reglement-europeen-sur-protection-des-donnees-personnelles,25684.html
Charlotte GALICHET
Sophie RENAUDIN