La loi relative à la protection des données personnelles a été adoptée

Le RGPD* est entré en application le 25 mai dernier.

Depuis cette date, vous êtes censé être en conformité avec le Règlement général sur la protection des données du 27 avril 2016.

En France, le projet de loi relatif à la protection des données personnelles a été adopté définitivement par l’assemblée Nationale le 14 mai 2018. Le Conseil Constitutionnel ayant été saisi d’un recours le 16 mai, s’est prononcé le 12 juin 2018 sur la loi relative à la protection des données personnelles, la validant et permettant ainsi la bonne application du règlement européen.

La loi adapte la loi « Informatique et libertés » du 6 janvier 1978.

Une ordonnance devrait « réécrire » cette loi et la mettre en cohérence avec la réglementation européenne dans un délai de 6 mois. Le gouvernement disposera ensuite d’un nouveau délai de 6 mois pour ratifier l’ordonnance. La loi relative à la protection des données personnelles ne sera donc réellement définitive que d’ici 1 an.

Les principales nouveautés et points importants sont les suivants :

• La CNIL n’a plus à délivrer d’autorisations ni à recevoir de déclarations pour la plupart des traitements de données.
• Un renforcement significatif de la régulation de la protection des données personnelles par les responsables de traitement, les sous-traitants et la CNIL.
• Lorsqu’un traitement risque d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit effectuer une analyse de l’impact des opérations sur la protection des données à caractère personnel. La CNIL peut établir une liste des traitements susceptibles de créer un risque élevé. Le responsable des données doit la consulter au préalable s’agissant des risques identifiés.
• Certaines formalités préalables demeurent applicables pour les traitements des données les plus sensibles : les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, les données génétiques, ou encore pour les traitements utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR).
• Un système de contrôle a posteriori, fondé sur l’appréciation des risques en matière de protection des données par le responsable de traitement.
• Le droit de contrôle sur place de la CNIL est généralisé à l’ensemble des locaux servant à la mise en œuvre des traitements de données personnelles. Les agents de la CNIL peuvent utiliser une identité d’emprunt dans le cadre de leurs contrôles.
• En cas de non-conformité au règlement européen, la CNIL peut prononcer des peines d’amende de 2 à 4 % du chiffre d’affaires annuel mondial de l’entreprise.
• Les pouvoirs de la CNIL sont renforcés. Outre les amendes administratives, la CNIL peut adresser des rappels à l’ordre, injonctions de mise en conformité, la limitation ou l’interdiction du traitement, etc…
• L’interdiction du traitement de certaines données est élargie à :

– la prétendue origine raciale ou ethnique ;

– les opinions politiques, les convictions religieuses ou philosophiques ;

– l’appartenance syndicale ;

– les données génétiques et biométriques afin d’identifier une personne physique ;

– les données concernant la santé ;

– les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Parallèlement, la liste des exceptions à ce principe s’allonge. N’y sont pas soumis :

– les données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;

– la réutilisation des informations publiques figurant dans les jugements et décisions, sous réserve que ces traitements n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées ;

– les traitements nécessaires à la recherche publique, après avis motivé et publié de la CNIL ;

– les données archivistiques.

Références

* RÈGLEMENT (UE) n° 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Décision du Conseil Constitutionnel n° 2018-765 du 12 juin 2018

Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles