<< Retour aux articles
Image

Publication au Journal officiel de la loi relative à la protection des données personnelles

Affaires - Immatériel
Tech&droit - Données
22/06/2018
La loi relative à la protection des données personnelles a été publiée au Journal officiel du 21 juin 2018.
Pour rappel, cette loi avait été validée par le Conseil constitutionnel le 12 juin 2018 (Cons. const., 12 juin 2018, n° 2018-765 DC). Elle a pour objet d’adapter le droit interne au « paquet européen de protection des données » composé du règlement n° 2016/679 du 27 avril 2016, dit « RGPD » et de la directive 2016/680 du 27 avril 2016. La loi du 21 juin 2018 modifie, en conséquence, la loi « Informatique et Libertés » (L. n° 78-17, 6 janv. 1978).

Titres I et II

Après avoir adapté les missions et les pouvoirs de la Commission nationale de l'informatique et des libertés (CNIL) dans son titre Ier, le texte, dans son titre II, rassemble les différentes marges de manœuvre permises par le règlement, à savoir :
– des dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements ;
– les obligations incombant aux responsables de traitement et à leurs sous-traitants ;
– des dispositions relatives à certaines catégories particulières de traitements ;
– des dispositions particulières relatives aux droits des personnes concernées ;
– des dispositions sur les voies de recours.

Titre III

Le titre III de la loi procède ensuite à la transposition de la directive 2016/680 précitée, qui fixe les règles applicables à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale. Les principales innovations de la directive consistent en la création :
– d’un droit à l’information de la personne concernée par les données personnelles traitées ;
– d’un droit d’accès, de rectification et d’effacement s’exerçant par principe de manière directe, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.

Elle précise également les conditions applicables aux transferts de données à caractère personnel vers les autres États membres, vers les États tiers et vers des entités privées au sein d’États tiers, en instaurant un mécanisme à plusieurs niveaux en fonction du degré d’« adéquation » du niveau de protection des données. Elle prévoit enfin que tous les accords incompatibles avec les règles de protection des données doivent être renégociés ou complétés par des protocoles pour assurer la protection des données à caractère personnel.

Titre IV et entrée en vigueur

Enfin, le titre IV contient les dispositions visant à faciliter l’application des règles relatives à la protection des données à caractère personnel par les collectivités territoriales.

Le texte prévoit une entrée en vigueur au 25 mai 2018, date d’entrée en vigueur du « RGPD ». Toutefois, les dispositions relatives aux opérations de collecte, de modification, de consultation et de communication des données entreront en vigueur à une date fixée par décret, et au plus tard :
– le 6 mai 2023, lorsqu'une telle obligation exigerait des efforts disproportionnés ;
– le 6 mai 2026, lorsque, à défaut d'un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé.

Par Vincent Téchené
Source : Actualités du droit