Nouveau texte français en matière de données personnelles

La loi informatique et libertés est modifiée pour tenir compte du RGPD. 

A la suite de l’entrée en vigueur le 25 mai dernier du règlement européen relatif à la protection des personnes physiques à l’égard des données à caractère personnel et à la libre circulation de ces données (communément désigné sous l’acronyme RGPD), la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles a été publiée au Journal Officiel du 21 juin 2018.  Quel est son objet et comment s’articule-t-elle avec le RGPD lequel, comme tous les règlements européens, est d’application directe dans notre droit ? 

Cette loi a pour objet de modifier la loi dite informatique et libertés (loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés). En effet, celle-ci, malgré l’entrée en vigueur du RGPD, n’est pas abrogée. Elle vient par contre d’être adaptée sur plusieurs points, pour être en conformité avec le RGPD. 

Il est d’ailleurs intéressant de relever que cette loi entre en vigueur rétroactivement à la date du 25 mai 2018, soit le jour de l’entrée en vigueur du RGPD, sous réserve de certaines de ses stipulations qui entreront en vigueur à une date ultérieure (rentrée de l’année scolaire 2018-2019, 1er juillet 2020 ou encore à une date fixée ultérieurement par décret pour certaines dispositions).  

En premier lieu, des modifications sont apportées aux articles régissant la Commission Nationale Informatique et Libertés (CNIL). En deuxième lieu cette loi comporte des aménagements, en fonction des marges de manœuvre laissées aux Etats membres par le RGPD. D’autres dispositions transposent des mesures de la directive européenne n°2016/680 du 27 avril 2016 relative aux données personnelles en matière pénale.  

Pour ce qui concerne l’utilisation des marges de manœuvres laissées par le RGPD, sans être exhaustif, il convient notamment de signaler que si le régime des déclarations préalables est bien supprimé, le régime des autorisations est lui aménagé. Il est maintenu, sauf exceptions pour deux catégories de traitement. 

Tout d’abord pour les traitements impliquant le numéro d’inscription au répertoire national d’identification des personnes physiques (numéro NIR, couramment appelé numéro de sécurité sociale). Les traitements portant sur des données qui comporteraient ce numéro ne pourront être mis en œuvre que par des catégories de responsables de traitement et pour des finalités de traitement qui seront définies par décret.  

Ensuite les traitements de données dans le domaine de la santé : sauf exceptions listées par la loi modifiée, il convient soit de se déclarer conforme à des référentiels et règlements types établis par la CNIL (parfois appelés méthodologies de référence), soit d’obtenir une autorisation préalable de la CNIL.  

Il est à noter que la loi ne modifie pas une disposition du texte ancien qui rendait nécessaire une autorisation de la CNIL en cas de transfert vers les pays tiers, alors que le RGPD autorise ces transferts sans « autorisation particulière d’une autorité de contrôle ». Le RGPD prévaut sur le texte français et la CNIL a annoncé appliquer le RGPD à cet égard. 
La loi va par contre plus loin que le RGPD sur la question des données sensibles telles que les données biométriques. 

Le texte s’adapte aussi pour permettre des sanctions de la CNIL à l’égard des sous-traitants et non pas seulement des responsables de traitement. Le pouvoir de sanction pénale de la CNIL pourra être mis en œuvre en cas de violation des obligations mises à la charge par le RGPD et non pas en cas de violation du contrat le liant au responsable de traitement.    

L’action de groupe est étendue par ailleurs aux demandes de réparation du préjudice subi et non plus simplement aux fins de cessation de traitements non conformes. Il est également désormais possible pour toute personne de mandater une association ou une organisation syndicale pour agir devant la CNIL ou devant les juridictions.  

Enfin il est à noter que la loi prévoit que, sauf exceptions « aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage ».  

A noter enfin que l’amendement qui prévoyait la création d’un abus de position dominante numérique n’a pas été repris dans cette loi. 

Ce texte vient donc adapter et le cas échéant compléter, le droit français au nouveau cadre juridique fixé par le RGPD en matière de données personnelles.