Promulgation de la loi de protection des données à caractère personnel
La Loi relative à la protection des données à caractère personnel a été promulguée le 20 juin 2018.
Pour rappel, elle adapte la Loi « Informatique et libertés » du 6 janvier 1978 au RGPD et à la Directive européenne sur les fichiers en matière pénale.
Des sénateurs requérants avaient déféré au Conseil constitutionnel la Loi relative à la protection des données à caractère personnel en dénonçant son inintelligibilité et contestant la constitutionnalité de certaines dispositions de ses articles. Le Conseil constitutionnel, qui s’est prononcé le 12 juin dernier sur ce texte, a toutefois jugé l’essentiel du texte conforme à la Constitution.
La CNIL s’est prononcée sur ce texte dans un avis en date du 17 novembre 2017 :
https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000036195647
Mise à jour du Décret d’application de la loi « Informatique et libertés »
La nouvelle version du décret d’application de la loi « Informatique et Libertés » a été publiée le 3 août dernier. Il s’agit là de la dernière étape de mise en conformité du droit national au RGPD. Ce décret apporte des précisions sur les délais et procédures applicables aux différentes missions de la CNIL ainsi que sur certaines dispositions de la loi, notamment sur les droits des personnes (voir les articles 92 et suivants).
Pour consulter le texte du décret et l’avis de la CNIL du 21 juin 2018 :
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000241445
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037278166&categorieLien=id
Thématiques prioritaires pour les contrôles CNIL 2018
Avec l’entrée en application du RGPD ainsi que de la Loi relative à la protection des données à caractère personnel la CNIL rappelle qu’elle :
- contrôlera le respect des principes fondamentaux de la protection des données, pour l’essentiel inchangés par rapport à la Loi de 1978 ;
- vérifiera le respect des obligations nouvelles issues du RGPD.
Comme elle l’a déjà annoncé, la CNIL tiendra compte, dans un premier temps, dans l’appréciation des suites à donner à ses contrôles, de la dynamique engagée par les organismes pour se conformer pleinement aux nouvelles exigences européennes.
Pour le reste, les grandes lignes de la stratégie de contrôle de la CNIL restent inchangées. S’agissant du programme annuel des contrôles, la CNIL nous fait part de trois grandes thématiques cette année :
1/ Les traitements liés au recrutement
Les acteurs du recrutement traitent de nombreuses données relatives aux candidats et sont amenés à recourir, de plus en plus, à des méthodes fondées sur le « big data » et à l’utilisation d’algorithmes d’aide au recrutement. Les contrôles permettront, notamment, de vérifier les moyens déployés pour l’identification de candidats, les outils utilisés par les équipes RH pour leur évaluation, les critères de sélection et les conditions de traitement des données.
2/ Les pièces justificatives demandées par les agences immobilières
Plus de deux après l’adoption du Décret n° 2015-1437 du 5 novembre 2015 renforçant les droits des locataires, il apparaît que ce cadre n’est pas respecté et que de nombreuses pièces complémentaires à la liste fixée par ce texte, telles que des attestations d’absence de crédit en cours ou des dossiers médicaux, sont exigés par les agences immobilières.
Les vérifications opérées auront ainsi vocation à constater cette pratique en portant plus précisément sur la licéité de la collecte, la proportionnalité des données collectées, les durées de conservation et la sécurisation des documents.
3/ Les traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés
Dans le cadre de la réforme des règles de gestion du stationnement payant sur la voie publique, une telle gestion passe des mairies vers les collectivités, qui peuvent mettre en œuvre de nouveaux dispositifs visant à améliorer la capacité de contrôle du paiement du stationnement. Parmi ces nouveaux dispositifs, la lecture automatisée de plaques d’immatriculation implique la collecte quasi systématique du numéro de plaque d’immatriculation des véhicules en stationnement associé, notamment, à des données de géolocalisation.
Le recours à ces nouveaux dispositifs pose ainsi des enjeux en matière informatique et libertés, notamment sur la liberté de circuler anonymement dans l’espace public.
Les contrôles viseront à vérifier le respect des garanties prévues par la Loi du 6 janvier 1978 modifiée (pertinence des données, information, etc.).
