Publication – Loi relative à la protection des données personnelles
La loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018, a modifié la loi Informatique et Libertés afin de mettre en conformité le droit national avec le cadre juridique européen. Elle permet la mise en œuvre concrète du Règlement général sur la protection des données (RGPD) et de la Directive « police-justice », applicable aux fichiers de la sphère pénale. La nouvelle loi Informatique et Libertés représente un progrès majeur pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques.
La bonne compréhension du cadre juridique suppose de combiner désormais les deux niveaux, européen et national. Le RGPD s’applique directement en droit français : il remplace sur de nombreux points (droits des personnes, bases légales des traitements, mesures de sécurité à mettre en œuvre, transferts, etc.) la loi nationale. Sur d’autres points (les « marges de manœuvre nationales »), la loi Informatique et libertés reste en vigueur et vient compléter le RGPD : il s’agit par exemple du traitement des données de santé ou des données d’infraction, de la fixation à 15 ans du seuil d’âge du consentement des mineurs aux services en ligne, des dispositions relatives à la mort numérique, etc. Enfin, la loi nationale reste pleinement applicable pour tous les fichiers « répressifs », qu’il s’agisse de la sphère pénale ou du domaine du renseignement et de la sûreté de l’Etat. De nombreuses dispositions spéciales sont prévues en ces matières.
Une ordonnance de réécriture complète de la loi Informatique et Libertés est prévue, dans un délai de six mois, notamment afin de résoudre ces difficultés de lisibilité de ce cadre juridique composite. Dans l’attente, il convient de prêter une attention particulière au cadre juridique applicable à chaque traitement.
Le droit national doit également être complété par un nouveau décret d’application de la loi Informatique et Libertés pour achever la mise en conformité du droit national au cadre juridique européen. Ce décret, sur lequel la CNIL a été saisie pour avis, devrait être publié dans les prochaines semaines. Il permettra de fixer plus précisément les procédures de traitement par la CNIL des différents dossiers dont elle a la charge et de préciser certaines dispositions de la loi.
Pour en savoir plus : CNIL – Entrée en vigueur de la nouvelle loi Informatique et Libertés