La loi n° 78-17 du 6 janvier 1978 dite "Informatique et libertés", modifiée par la loi n° 2018-493 du 20 juin 2018 qui transpose les dispositions du règlement général sur la protection des données (RGPD), fait désormais l’objet d’un décret d’application entré en vigueur le 4 août 2018 (décret n° 2018-687 du 1er août 2018). Ce décret apporte plusieurs précisions importantes.
Révision du fonctionnement de la CNIL - Plusieurs mesures concernent le fonctionnement et l’organisation de la Commission nationale de l’informatique et des libertés (CNIL). Ainsi, le décret encadre la délégation de signature de son président et de son vice-président et indique les conditions dans lesquelles les membres et agents de la commission procèdent à leurs constatations en ligne sous une identité d’emprunt. Il définit les conditions d’agrément par la CNIL des organismes certificateurs et par l’organisme national d’accréditation mentionné à l’article 43, 1, b) du RGPD.
Le décret met également en place la procédure d’urgence contradictoire appliquée par la formation restreinte de la CNIL et précise la composition de celle-ci. Il décrit le fonctionnement du comité d’audit du système national des données de santé et détermine les modalités de l’audit. Enfin, il détaille les conditions d’application de l’article 49-3 de loi du 6 janvier 1978, relatif au traitement transfrontalier au sein de l’Union européenne, lorsque la CNIL agit en tant qu’autorité chef de file et coopère avec les autorités nationales des autres Etats membres de l’Union européenne.
Détail de certains documents et régimes particuliers - Le décret précise le contenu de l’analyse d’impact préalable à la mise en œuvre d’un traitement, le contenu du contrat entre le sous-traitant et le responsable du traitement ainsi que les règles applicables aux responsables conjoints du traitement.
Le décret détaille également les caractéristiques de certains régimes dérogatoires. Il détermine les conditions dans lesquelles un responsable de traitement peut déroger aux droits des personnes concernées d’accéder à leurs données, de les faire rectifier, d’en limiter le traitement et de s’opposer à un traitement de données à caractère personnel à des fins de recherche scientifique ou historique ou à des fins statistiques. Il liste les traitements et catégories de traitements dérogeant au droit à la communication d’une violation de données à la personne concernée prévu à l’article 34 du RGPD, lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.
Mise en œuvre des dispositions de nature pénale - Le décret précise les dispositions pénales de la loi. Il liste les catégories de personnes morales de droit privé collaborant au service public de la justice autorisées à mettre en œuvre des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes. En outre, le décret achève la transposition de la directive 2016/680 du 27 avril 2016.
Le second titre adapte les dispositions du Code de procédure pénale relatives aux fichiers de police judiciaire et celles du Code pénal, pour les contraventions d’atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques. Il prévoit enfin que la CNIL transmet aux responsables de traitement l’ensemble des demandes tendant à la mise en œuvre des droits d’accès indirect, de rectification et d’effacement prévus par le chapitre XIII de la loi du 6 janvier 1978 qui lui ont été adressées avant l’entrée en vigueur du décret.
