La « mise-à-jour » de la loi informatique et liberté, votée par l’Assemblée nationale en mai dernier, prévoit la prise d’un certain nombre de décrets. Petit point sur les textes règlementaires à venir.
Suite à l’entrée en vigueur du RGPD, la France a fait le choix de voter une loi nationale, alors même que le RGPD, d’application directe, ne nécessitait pas de transposition, et ce pour trois raisons :
- ne pas abroger la loi informatique et Libertés et garder le symbole de cette loi pionnière en modifiant juste ses dispositions afin qu’elle soit conforme au RGPD ;
- établir des dispositions nationales propres sur les sujets pour lesquels le RGPD laisse une marge de manœuvre aux Etats ou ne se prononce pas ;
- transposer la directive UE 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales.
La loi relative à la protection des données, votée en mai 2018 par l’Assemblée nationale, prévoit que des décrets d’application suivront afin de préciser les modalités d’application de certaines dispositions issues de la loi.
Ces décrets doivent apporter notamment les précisions suivantes :
- un décret en Conseil d’Etat viendra préciser comment la CNIL pourra agréer des organismes certificateurs (article 1erde la loi) ;
- un décret en Conseil d’Etat viendra préciser, pour les formations plénières de la CNIL, les conditions et limites dans lesquelles le président de la commission et le vice-président délégué peuvent déléguer leur signature (article 3) ;
- un décret en Conseil d’Etat viendra préciser les conditions dans lesquelles les agents et membres de la CNIL effectuent leurs constatations lorsqu’ils réalisent des opérations de contrôle en ligne en utilisant une identité d’emprunt (article 5) ;
- un décret en Conseil d’Etat viendra préciser les conditions d’application de l’article qui permet à la CNIL, lorsqu’elle agit en tant qu’autorité chef de file, d’auditionner le responsable du traitement ou le sous-traitant, puis de soumettre son projet de décision aux autorités compétentes, qui peuvent à leur tour faire des objections motivées (article 6) ;
- un décret en Conseil d’Etat viendra préciser les conditions entourant la formation restreinte de la CNIL lorsqu’elle se réunit en procédure d’urgence contradictoire à cause du caractère urgent d’une violation de droits nécessitant une intervention urgente (article 7) ;
- l’article 11 prévoit également la prise de plusieurs décrets :
– un décret en Conseil d’Etat viendra préciser les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu’ils portent sur des données comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ;
– un second décret en Conseil viendra préciser la fréquence à laquelle il faudra réaliser une opération cryptographique pour certains types de traitements collectant un numéro d’inscription au répertoire national d’identification ;
– seront autorisés par décret en Conseil d’État les traitements de données à caractère personnel mis en œuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ;
- un décret en Conseil d’Etat viendra préciser la liste des personnes morales de droit privé collaborant au service public de la justice qui peuvent traiter données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté (article 13) ;
- un décret en Conseil d’Etat viendra préciser les conditions dans lesquelles la CNIL peut saisir l’Institut national des données de santé pour certains traitements de données de santé (finalité de recherche scientifique) (article 16 section 2) ;
- un décret en Conseil d’État fixera la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du RGPD lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique (article 24).