L’adoption de cette ordonnance a été prévue par l’article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.
Voir à ce sujet :
- Publication de la loi relative à la protection des données personnelles
- Informatique et libertés / RGPD : un important décret au JO de ce matin
- et, voir aussi au JO de ce matin même :
Premier élément majeur issu de ce nouveau texte : une réécriture de l’ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Mais l’ampleur de cette réécriture ne doit pas faire illusion : il s’agit surtout d’un toilettage, en fait, d’une multiplication des corrections de forme et des adaptations des formulations retenues par ce texte. Il s’est notamment agi de remettre en cohérence ces textes en termes de RGPD / protection des données à caractère personnel et de corriger des incohérences possibles en termes de hiérarchie des normes.
Cela dit, il s’est aussi agi de mettre le droit national en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016..
Cette ordonnance prévoit aussi une adaptation et une extension de ces régimes au monde ultramarin (avec une application notamment à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises ; les manchots de la terre Adélie pourront donc se prévaloir des garanties RGPD sous réserve de pouvoir signer ou cliquer avec leur papattes).
Vous voulez en savoir plus sur ce texte ? Dès lors deux solutions.
La solution courageuse consiste à lire ce texte et à le comparer avec les versions devancières. Pour ce faire, cliquer ci-dessous après s’être muni de quelques cafés et cachets d’aspirine :
-
Ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l’article 32 de la loi n° 2018-4
La version plus rapide consiste à lire ce qui suit, et qui est un extrait du rapport au Président de la République relatif à ce texte :
L’article 1er modifie la loi du 6 janvier 1978 précitée, répartie en cinq titres. Conformément à l’habilitation législative, et dans le respect des dispositions votées dans la loi du 20 juin 2018 précitée, il s’agit d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence de cette loi.
Le titre Ier de la loi du 6 janvier 1978 précitée, telle que modifiée par l’ordonnance, contient les dispositions communes qui constituent le socle commun à l’ensemble des traitements de données à caractère personnel. Il contient six chapitres.
Le chapitre Ier regroupe les dispositions relatives aux principes relatifs à la protection des données à caractère personnel, ainsi que les définitions et les champs d’application matériel et territorial de la loi.
L’article 1er reprend les dispositions actuelles de l’article 1er de la loi du 6 janvier 1978 précitée, en rappelant notamment que l’informatique est au service de chaque citoyen et en posant le principe du droit à l’autodétermination informationnelle, à savoir la maîtrise par l’individu de ses données. Cet article rappelle que la protection des données à caractère personnel est assurée conformément aux dispositions du règlement (UE) 2016/679, de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 et de la loi du 6 janvier 1978 modifiée.
L’article 2 précise le champ d’application matériel et les définitions applicables dans le cadre de la loi du 6 janvier 1978 précitée. Il procède à un renvoi à l’article 4 du règlement (UE) 2016/679 relatif aux définitions. Ainsi, sauf dispositions contraires, les définitions seront identiques pour l’ensemble du droit des données à caractère personnel.
L’article 3 précise le champ d’application territorial de la loi du 6 janvier 1978 précitée. Il procède à une réécriture de l’article 5 actuel de cette loi. Il intègre les dispositions de l’article 5-1, introduites par la loi du 20 juin 2018 précitée, concernant le droit applicable en cas de marges de manœuvre mises en œuvre par le droit national, selon le critère de résidence de la personne concernée, sauf en cas de traitements à des fins journalistiques pour lesquels s’applique le critère d’établissement. Il assure enfin la cohérence des dispositions nationales avec celles de l’article 3 du règlement (UE) 2016/679 qui prévoit une application du règlement selon trois critères : traitement des données effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ; traitement des données relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées soit à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes, soit au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union ; traitement de données par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un Etat membre s’applique en vertu du droit international public.
L’article 4 énonce les grands principes applicables aux traitements des données à caractère personnel. Il réécrit l’article 6 de la loi du 6 janvier 1978 précitée, en reprenant les principes prévus à l’article 5 du règlement (UE) 2016/679 et en transposant ceux applicables aux traitements de données à caractère personnel entrant dans le champ de la directive (UE) 2016/680, défini à son article 4. Il apporte une précision concernant le principe de limitation énoncé au 3°, qui doit, pour les traitements relevant de la directive et du hors champ de l’Union européenne (sûreté de l’Etat et défense), compte tenu d’une rédaction différente de celle du règlement, être compris comme impliquant que ces données ne sont pas excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
L’article 5 qui correspond à l’article 7 de la loi du 6 janvier 1978 précitée, telle que modifiée par la loi du 20 juin 2018, traite des conditions de licéité des traitements. Il précise notamment que le consentement s’entend en droit national dans les conditions définies au 11 de l’article 4 et à l’article 7 du règlement (UE) 2016/679.
L’article 6 rappelle le principe, déjà énoncé à l’article 8 de la loi du 6 janvier 1978 précitée, d’interdiction de traitements des données dites sensibles (c’est-à-dire les données qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique, données génétiques, données biométriques aux fins d’identifier une personne physique de manière unique, données concernant la santé ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique), tout en prévoyant certaines exceptions. Est en revanche supprimée la dérogation qui était prévue pour les données appelées à faire l’objet à bref délai d’un procédé d’anonymisation, une telle dérogation n’étant pas prévue par le règlement (UE) 2016/679.
L’article 7 reprend l’article 37 de la loi du 6 janvier 1978 précitée pour prévoir que les dispositions de cette loi ne font pas obstacle, au bénéficie des tiers, des dispositions relatives à l’accès aux documents administratifs et aux archives publiques.
Le chapitre II regroupe les dispositions relatives à la Commission nationale de l’informatique et des libertés (CNIL). Il contient trois sections.
La première section est relative à l’organisation et aux missions de la CNIL.
L’article 8 précise les missions de la CNIL. Il reprend l’article 11 de la loi du 6 janvier 1978 précitée, telle que modifiée par la loi du 20 juin 2018. Il modifie notamment les dispositions relatives au traitement des réclamations, plaintes et enquêtes, ainsi qu’aux modalités d’information de la personne concernée afin de les rendre conformes au droit de l’Union européenne. Il supprime par ailleurs les dispositions relatives à l’intervention de la CNIL sur les règles professionnelles compte tenu des nouvelles prérogatives en matière d’approbation de codes de conduite et de certification. L’article 9 reprend la plupart des dispositions de l’article 13 de la loi du 6 janvier 1978 précitée relatif à la composition de la CNIL et à la durée du mandat de ses membres. Sont intégrées également dans cet article les dispositions relatives à la délégation des attributions du président au vice-président délégué qui figuraient auparavant à l’article 19. L’article 10 correspond à l’article 19 de cette loi relatif aux habilitations des agents de la CNIL et aux conditions de leur nomination. L’article 11 reprend l’article 20 de la loi du 6 janvier 1978 précitée relatif à l’obligation de secret professionnel des agents de la commission, ainsi qu’aux sanctions pénales pouvant résulter du non-respect de celui-ci. L’article 12 est une reprise du dernier alinéa de l’article 13 de la du 6 janvier 1978 relatif au contenu du règlement intérieur de la CNIL. L’article 13 correspond à l’article 15 de cette loi qui détaille notamment les attributions dont la commission peut charger son président ou le vice-président délégué de la CNIL. L’article 14 reprend l’article 15 bis de cette loi relatif à la coopération entre la CNIL et la Commission d’accès aux documents administratifs. L’article 15 est la reprise de l’article 16 de cette loi relatif à l’exercice des attributions de la commission par le bureau. L’article 16 reprend l’article 17 de cette loi relatif à la formation restreinte, dans sa rédaction issue de la loi du 20 juin 2018 prévoyant notamment la non-participation des agents de la CNIL lors des délibérés. L’article 17 correspond à l’article 18 de cette loi actuelle relatif au commissaire du Gouvernement. L’article 18 reprend l’article 21 de la même loi relatif à l’obligation de ne pas s’opposer à l’action de la commission ou de ses membres en précisant que ce ne sont plus les seuls ministres mais l’ensemble des membres du Gouvernement qui sont soumis à cette obligation.
La section 2 du chapitre II reprend les dispositions relatives au contrôle de la mise en œuvre des traitements par les responsables de traitement. Elle contient un article 19 unique qui reprend l’article 44 de la loi du 6 janvier 1978 relatif aux contrôles de la CNIL, tel que modifié par la loi du 20 janvier 2018. Il précise les conditions dans lesquelles les membres et agents habilités de la CNIL ont accès aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel. Un accès est désormais prévu y compris dans les parties de ces lieux, locaux, enceintes, installations ou établissements affectées au domicile privé, ou dans de tels lieux, locaux, enceintes, installations ou établissements entièrement affectés au domicile privé, sous l’autorité et le contrôle du juge des libertés et de la détention qui a autorisé la visite. Cet article reprend également les dispositions en matière d’opposabilité du secret.
La troisième section regroupe les dispositions relatives aux mesures correctrices et aux sanctions.
L’article 20 reprend l’article 45 de la loi du 6 janvier 1978 relatif aux avertissements, à la mise en demeure et à la saisine de la formation restreinte en vue du prononcé de différentes mesures correctrices ou sanctions. L’article 21 correspond à l’article 46 de cette loi relatif à la saisine de la formation restreinte de la CNIL et traite des mesures provisoires ou définitives qu’elle peut adopter. L’article 22 reprend l’article 47 de la loi du 6 janvier 1978 relatif à la nécessité d’un rapport et à la procédure menant à la prise d’une sanction par la formation restreinte. L’article 23 reprend l’article 48 de cette loi relatif aux sanctions potentielles d’organismes de certification ou chargés du respect d’un code de conduite.
La section 4 regroupe les dispositions relatives à la coopération entre la CNIL et les autorités de contrôle des Etats membres de l’Union européenne en matière de protection des données.
Les articles 24 à 29 reprennent ainsi les articles 49 à 49-5 de la loi du 6 janvier 1978 précitée, telle que modifiée par la loi du 20 juin 2018, qui traitent des procédures de coopération, d’assistance mutuelle et d’opérations conjointes réalisées par la CNIL. Ces articles précisent ainsi les organes compétents au sein de la CNIL pour la mise en œuvre des procédures de coopération et le rôle de la Commission lorsqu’il s’agit de traitements entrant dans le champ d’application du règlement (UE) 2016/679 ou de la directive (UE) 2016/680. Il est également prévu les cas où la CNIL est autorité de contrôle chef de file ou autorité de contrôle concernée. Enfin, il est précisé les cas de coopération de la CNIL avec les autorités de contrôle d’Etats non membres de l’Union européenne dans les traitements autres que les fichiers de souveraineté, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d’autres libertés et droits fondamentaux.
Le chapitre III contient un article 30 unique qui reprend l’article 22 de la loi du 6 janvier 1978 précitée, tel que modifié par la loi du 20 juin 2018. Cet article concerne les dispositions relatives au numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. Cet article ajoute, par souci de cohérence, les traitements comportant ce numéro utilisé comme identifiant de santé des personnes en application de l’article L. 1111-8-1 du code de la santé publique.
Le chapitre IV regroupe les dispositions relatives aux formalités préalables à la mise en œuvre des traitements, après les modifications introduites par la loi du 20 juin 2018, tirant les conséquences de la logique de responsabilisation des responsables de traitement prévue par le règlement (UE) 2016/679 et l’allègement des procédures administratives qui en résulte.
L’article 31 reprend l’article 26 de la loi du 6 janvier 1978 qui concerne les autorisations des traitements mis en œuvre pour le compte de l’Etat et qui, soit intéressent la sûreté de l’Etat, la défense ou la sécurité publique, soit ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté. L’article 32 qui correspond à l’article 27 de cette loi, prévoit une autorisation par décret en Conseil d’Etat pris après avis de CNIL pour les traitements mis en œuvre pour le compte de l’Etat, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes. Les articles 33 à 36 correspondent aux articles 28 à 31 de la loi du 6 janvier 1978 précitée et qui concernent notamment les obligations de présentation des demandes d’avis adressées à la CNIL et la procédure liée à ces demandes. Ces articles suppriment certaines mentions inutiles ou contraires au règlement (UE) 2016/679, notamment l’obligation pour les responsables de traitement d’informer la CNIL de tout changement affectant un traitement ou de suppression d’un traitement déjà déclaré. Une telle obligation est en revanche maintenue par les traitements déjà autorisés et susceptibles de faire l’objet d’une mise à jour rendue publique. L’article 34 modifie les délais dans lesquels la CNIL doit se prononcer sur les demandes d’avis en les alignant sur les délais prévus à l’article 36.5 du règlement (UE) 2016/679 en matière de consultation de la CNIL sur la base d’une analyse d’impact, à savoir huit semaines à compter de la réception de la demande, prorogeable de six semaines sur décision motivée du président. L’article 36 prévoit enfin que la CNIL met à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements automatisés ayant fait l’objet d’une formalité préalable, y compris les traitements dans le domaine de la santé.
Le chapitre V traite des voies de recours spécifiques aux traitements de données à caractère personnel prévues par la loi du 6 janvier 1978. Ainsi, l’article 37 reprend l’article 43 ter relatif à l’action de groupe que peuvent conduire certains organismes et associations pour faire cesser des manquements à des obligations en matière de protection des données ou pour engager la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis. L’article 38, qui reprend l’article 43 quater, prévoit que toute personne peut mandater une association ou une organisation en cas de méconnaissance d’un droit ou d’une liberté dans le cadre d’un traitement de données à caractère personnel pour introduire, en son nom, une réclamation auprès de la CNIL, un recours juridictionnel contre cette dernière ou contre un responsable de traitement ou pour exercer une action en réparation. Peuvent être ainsi mandatés non seulement les organismes ou associations qui peuvent exercer une action de groupe en vertu de l’article 37, mais également une association ou une organisation dont l’objet statutaire est en relation avec la protection des droits et libertés lorsque ceux-ci sont méconnus dans un traitement de données, ou une association dont cette personne est membre et dont l’objet statutaire implique la défense d’intérêts en relation avec les finalités du traitement litigieux.
Enfin, l’article 39 reprend l’article 43 quinquies qui précise la procédure particulière introduite par la loi du 20 juin 2018 pour tenir compte de l’arrêt de la Cour de justice de l’Union européenne C-362/14 du 6 octobre 2015. Cette procédure prévoit que, dans le cas où, saisie d’une réclamation dirigée contre un responsable de traitement ou un sous-traitant, la CNIL estime fondés les griefs avancés relatifs à la protection des droits et libertés d’une personne à l’égard du traitement de ses données dans le cadre de transferts de données vers des Etats non membres de l’Union européenne ou à des organisations internationales, elle peut demander au Conseil d’Etat d’ordonner, le cas échéant sous astreinte, et dans l’attente de l’appréciation par la Cour de justice de l’Union européenne de la validité de la décision d’adéquation prise par la Commission européenne, soit la suspension d’un transfert de données, soit la prolongation de la suspension d’un tel transfert que la CNIL aurait elle-même préalablement ordonnée.
Le chapitre VI relatif aux dispositions pénales contient deux articles 40 et 41 qui sont la reprise des articles 50 et 52 de la loi du 6 janvier 1978 précitée. Par souci de lisibilité, l’article 51 de cette loi est codifié par l’article 13 de la présente ordonnance à l’article 226-22-2 du code pénal.
Le titre II concerne les traitements relevant du régime de protection des données à caractère personnel prévu par le règlement (UE) 2016/679. Il contient cinq chapitres.
Le chapitre Ier regroupe les dispositions générales.
L’article 42 modifie l’article 4 de la loi du 6 janvier 1978, relatif au champ d’application matériel du règlement (UE) 2016/679. Le champ d’application de ce titre est ainsi rapproché de l’article 2 du règlement, tout en maintenant une dérogation concernant les copies temporaires réalisées dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique (« caching »).
L’article 43 renvoie aux dispositions du chapitre II du règlement (UE) 2016/679 et au chapitre Ier du titre Ier de la loi afin d’en améliorer la lisibilité, s’agissant des principes, règles et conditions de licéité des traitements.
L’article 44 modifie les dispositions du II de l’article 8 de la loi du 6 janvier 1978, relatives aux dérogations à l’interdiction de traitement de données sensibles, en renvoyant aux dispositions du 2 de l’article 9 du règlement (UE) 2016/679 permettant des dérogations au principe d’interdiction de traitement de données sensibles. Cet article précise par ailleurs les marges de manœuvres que le législateur a souhaité mettre en œuvre concernant les traitements effectués par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose une obligation de secret professionnel, les traitements à finalités statistiques mis en œuvre par l’INSEE, les traitements de données de santé d’intérêt public, les traitements de données biométriques d’accès, ou ceux nécessaires à la réutilisation des informations figurant dans les décisions de justice, ou encore les traitements à finalité de recherche publique.
L’article 45 reprend l’article 7-1 de la loi du 6 janvier 1978, introduit la loi du 20 juin 2018, relatif à l’âge du consentement des mineurs concernant l’offre directe de services de la société de l’information, fixé à 15 ans. Il est également rappelé que le responsable de traitement doit rédiger en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne.
L’article 46 reprend l’article 9 de la même loi, dans sa rédaction résultant de la loi du 20 juin 2018, qui fixe la liste des personnes qui peuvent traiter des données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes.
Enfin, l’article 47 reprend l’article 10 de la loi du 6 janvier 1978, tel que modifié par la loi du 20 juin 2018, concernant les décisions fondées sur un traitement automatisé. Il est rappelé le principe de l’interdiction de prise de décision de justice sur le fondement d’un tel traitement destiné à évaluer certains aspects de la personnalité d’une personne. Le principe d’interdiction de décision produisant des effets juridiques affectant la personne de façon significative y compris le profilage est également rappelé. Conformément aux dispositions votées par la loi du 20 juin 2018, les exceptions à ce principe, prévues par le 2 de l’article 22 du règlement (UE) 2016/679, sont élargies (contrat entre la personne concernée et le responsable du traitement ou consentement explicite). Ce même article précise les conditions dans lesquelles l’administration peut également prendre des décisions individuelles automatisées.
Le chapitre II regroupe les dispositions relatives aux droits de la personne concernée.
L’article 48 renvoie aux dispositions des articles 12 à 14 du règlement (UE) 2016/679 relatifs à la transparence, à l’exercice des droits ainsi qu’au droit à l’information. Il prévoit par ailleurs la délivrance d’une information adaptée en matière de consentement, s’agissant des données à caractère personnel qui sont collectées auprès d’un mineur de moins de quinze ans, conformément à l’article 13 du règlement (UE) 2016/679. Il prévoit également que la personne doit être informée du droit de définir des directives relatives au sort de ses données après sa mort. Il prévoit enfin que le droit à l’information ne s’applique pas aux données utilisées lors d’un traitement mis en œuvre pour le compte de l’Etat et intéressant la sécurité publique et lorsque le traitement est mis en œuvre par les administrations publiques qui ont pour mission soit de contrôler ou de recouvrer des impositions soit d’effectuer des contrôles de l’activité de personnes physiques ou morales, dans la mesure où une telle limitation serait prévue par l’acte instaurant le traitement.
L’article 49 concerne le droit d’accès, tel que prévu à l’article 15 du règlement (UE) 2016/679. Il rappelle que ce droit ne s’applique pas lorsque les données sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée et à la protection des données des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique.
L’article 50 remplace les dispositions du I de l’article 40 de la loi du 6 janvier 1978 précitée en renvoyant aux dispositions de l’article 16 du règlement (UE) 2016/679 relatif au droit de rectification.
L’article 51 renvoie à l’article 17 du règlement (UE) 2016/679 relatif au droit à l’effacement. Il reprend les dispositions du II de l’article 40 de la loi du 6 janvier 1978 qui prévoit que le responsable du traitement est tenu d’effacer les données qui ont été collectées dans le cadre de l’offre de services de la société de l’information lorsque la personne concernée était mineure au moment de la collecte, comme le permet l’article 17.1 e du règlement.
L’article 52 prévoit des dérogations au droit d’accès, de rectification et d’effacement pour certaines finalités, lorsque ce droit est prévu par l’acte instaurant, pour les traitements en matière d’imposition, de mission de service public ou pour les traitements intéressant la sécurité publique. Dans ce cas, les demandes tendant à l’exercice de ces droits ne s’exercent pas directement auprès du responsable de traitement mais auprès de la CNIL. Cet article prévoit par ailleurs que le droit d’accès peut être limité pour les traitements mis en œuvre par les juridictions financières, dans le cadre de leurs missions non juridictionnelles, notamment lorsque de telles missions sont susceptibles de révéler des irrégularités appelant la mise en œuvre d’une procédure juridictionnelle, comme le permettent les dispositions des paragraphes e et h du 1 de l’article 23 du règlement (UE) 2016/679.
L’article 53 renvoie aux dispositions de l’article 18 du règlement (UE) 2016/679 relatif au droit à la limitation du traitement.
L’article 54 rappelle l’obligation de notification en cas de rectification ou d’effacement de données ou de limitation du traitement, prévue à l’article 19 du règlement.
L’article 55 prévoit que le droit à la portabilité des données s’exerce dans les conditions prévues à l’article 20 du règlement.
L’article 56 remplace l’article 38 de la loi du 6 janvier 1978 permettant le droit d’opposition et procède à un renvoi aux dispositions de l’article 21 du règlement (UE) 2016/679 relatif à ce droit. Il rappelle par ailleurs que le droit d’opposition ne s’applique pas lorsque le traitement résulte d’une obligation légale ou lorsque l’acte instaurant le traitement écarte cette possibilité.
Le chapitre III consacré aux obligations incombant au responsable du traitement et au sous-traitant contient cinq sections.
La première section traite des obligations générales.
L’article 57 rappelle que le responsable de traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au chapitre IV du règlement (UE) 2016/679 et à la loi du 6 janvier 1978. Cet article rappelle également que le responsable de traitement et, le cas échéant, son représentant doit tenir un registre des activités de traitement en application de l’article 30 du même règlement et désigner un délégué à la protection des données dans les conditions prévues par la section 4 du chapitre IV du même règlement.
L’article 58 rappelle l’obligation pour le responsable de traitement de notifier à la CNIL et de communiquer à la personne concernée toute violation de données à caractère personnel en application des articles 33 et 34 du règlement (UE) 2016/679. Il reprend en outre le III de l’article 40 de la loi du 6 janvier 1978, tel qu’introduit par la loi du 20 juin 2018, relatif aux dérogations qui peuvent être apportées par décret en Conseil d’Etat à cette obligation de notification lorsque celle-ci est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.
L’article 59 renvoie à l’article 26 du règlement (UE) 2016/679 relatif aux obligations respectives en cas de responsables conjoints de traitement.
L’article 60 réécrit le dernier alinéa de l’article 35 de la loi du 6 janvier 1978 précitée, introduit par la loi du 20 juin 2018, relatif aux obligations des sous-traitants. Il précise notamment que le traitement réalisé par un sous-traitant doit être régi par un contrat ou tout acte juridique qui lie le sous-traitant à l’égard du responsable du traitement, sous une forme écrite, y compris en format électronique.
L’article 61 interdit au sous-traitant ou à toute autre personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant ayant accès à des données à caractère personnel de traiter ces données sans l’accord du responsable du traitement.
La deuxième section est relative aux obligations en cas de traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Les articles 62 et 63 renvoient aux articles 35 et 36 du règlement (UE) 2016/679, en rappelant l’obligation, pour les responsables de traitement, d’effectuer préalablement à la mise en œuvre du traitement une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, et de consulter la CNIL lorsqu’il ressort de l’analyse d’impact que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
La troisième section concerne les traitements de données à caractère personnel dans le domaine de la santé. L’article 64 reprend l’article 43 actuel de la loi du 6 janvier 1978 relatif au droit d’accès aux données de santé. Pour le surplus, cette section correspond au chapitre IX de cette dernière loi, telle que réécrite par la loi du 20 juin 2018. La sous-section 1, relative aux dispositions générales, est composée des articles 65 à 71 qui reprennent les articles 53 à 60 de la loi du 6 janvier 1978. La sous-section 2, qui concerne les dispositions particulières relatives aux traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, contient les articles 72 à 77 qui reprennent les articles 61 à 65 da la loi du 6 janvier 1978 précitée.
La quatrième section regroupe les dispositions relatives aux traitements aux fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
L’article 78 reprend l’article 36 de la loi du 6 janvier 1978 qui prévoit une dérogation au principe de la limitation de la conservation. La loi du 20 juin 2018 a introduit des dérogations à certains droits prévus par le règlement (UE) 2016/679 pour les traitements de cette section.
L’article 79 reprend les dispositions du deuxième alinéa du III de l’article 32 de la loi du 6 janvier 1978 et prévoit, dans les conditions du b du 5 de l’article 14 du règlement (UE) 2016/679 une dérogation aux informations à fournir lorsque les données ont été initialement recueillies pour un autre objet, pour les traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la réutilisation de ces données à ces mêmes fins.
La cinquième section concerne les traitements de données à caractère personnel aux fins de journalisme et d’expression littéraire et artistique. Il contient un article 80 unique qui reprend, tout en l’actualisant, l’article 67 de la loi du 6 janvier 1978, relatif aux dérogations à certains droits pour les traitements d’expression universitaire, artistique ou littéraire mais aussi à des fins journalistiques.
Le chapitre IV concerne les traitements dans le secteur des communications électroniques. Il s’agit principalement d’une reprise des dispositions contenues dans la loi du 6 janvier 1978 ,issues de la transposition de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive « vie privée et communications électroniques »). Ce titre contient trois articles.
L’article 81 précise que les droits et obligations mentionnés aux chapitres II et III s’appliquent sous réserve des dispositions particulières prévues par ce chapitre IV. A cet égard, l’article 95 du règlement (UE) 2016/679 précise que ce dernier « n’impose pas d’obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans l’Union en ce qui concerne les aspects pour lesquels elles sont soumises à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE ».
Les articles 82 et 83 reprennent les dispositions du II de l’article 32 et de l’article 34 bis actuels de la loi du 6 janvier 1978. Il remplace le terme « accord » par celui de « consentement » pour tenir compte de la nouvelle terminologie consacrée par le règlement (UE) 2016/679.
Le chapitre V concerne les dispositions régissant les traitements de données à caractère personnel relatives aux personnes décédées. Il s’agit d’une reprise des dispositions de la loi du 6 janvier 1978 qui n’ont pas été modifiées sur ce point par la loi du 20 juin 2018 dans la mesure où ces traitements ne sont pas régis par le règlement (UE) 2016/679 (considérant 27), ni, de façon générale, par le droit de l’Union européenne. L’article 84 rappelle le principe selon lequel les droits de la personne concernée s’éteignent au décès de celle-ci, mais peuvent être provisoirement maintenus en fonction des directives de la personne. L’article 85 qui reprend les dispositions de l’article 40-1 de la loi du 6 janvier 1978précise les conditions dans lesquelles la personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès. L’article 86 reprend les dispositions du deuxième alinéa de l’article 57 de cette loi en précisant que la possibilité que les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, fassent l’objet d’un traitement sauf si l’intéressé a, de son vivant, exprimé son refus par écrit, s’applique dans le cadre des finalités de recherche, d’étude ou d’évaluation dans le domaine de la santé.
Le titre III concerne les traitements relevant de la directive (UE) 2016/680 du 27 avril 2016 dont les dispositions ont été transposées par la loi du 20 juin 2018 précitée.
Ce titre est divisé en quatre chapitres, qui reprennent les quatre sections de la loi du 20 juin 2018 précitée : dispositions générales, obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel, droits de la personne concernée et transferts internationaux de données.
Les articles 87 à 109 et 111 à 114 reprennent les articles 70-1 à 70-27 contenus dans le chapitre XIII de la loi du 6 janvier 1978 précitée.
L’article 106 précise que la personne concernée a le droit, dans certains cas, d’obtenir la limitation du traitement de ses données, conformément au considérant 47 de la directive.
L’article 110 précise l’application du droit d’opposition de la personne concernée dans les traitements relevant de la directive.
Le titre IV concerne les dispositions applicables aux traitements intéressant la sûreté de l’Etat et la défense.
L’article 115 définit le champ matériel de ce titre qui s’applique sans préjudice du titre 1er relatif aux dispositions communes.
Le chapitre Ier concerne les droits de la personne concernée.
L’article 116 reprend les dispositions des I, III et IV de l’article 32 actuel de la loi du 6 janvier 1978 relatif au droit à l’information.
Les articles 117 à 119 reprennent les droits prévus aux articles 38 à 41 de cette loi, relatifs au droit d’opposition et aux droits d’accès, de rectification et d’effacement. Par principe, ces droits s’exercent de façon indirecte auprès de la CNIL qui désigne l’un de ses membres appartenant ou ayant appartenu au Conseil d’Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Par dérogation, ces droits peuvent s’exercer auprès du responsable de traitement si l’acte réglementaire autorisant le traitement le prévoit et que ce traitement est susceptible de comprendre des informations dont la communication ne met pas en cause les fins qui lui sont assignées.
L’article 120 rappelle les interdictions en matière de traitements automatisés de données à caractère personnel destiné à évaluer certains aspects de la personnalité d’une personne.
Le chapitre II traite des autres dispositions du titre VI.
La section 1 contient un article 121 unique rappelant l’obligation pour le responsable de traitement de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
L’article 122 unique de la section 2 reprend partiellement l’article 35 actuel de la loi du 6 janvier 1978 concernant les sous-traitants en rappelant qu’ils doivent offrir des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité et être liés au responsable de traitement par un contrat rappelant leurs obligations en la matière.
La section 3 concerne les transferts de données hors de l’Union européenne. Les articles 123 et 124 reprennent les articles 68 et 69 de la loi du 6 janvier 1978.
Enfin, le titre V contient les dispositions relatives à l’outre-mer (articles 124 à 127) afin de rendre applicable les dispositions de la loi du 6 janvier 1978 en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises, conformément à l’habilitation législative.
Le chapitre II de l’ordonnance procède à la mise en cohérence avec les changements résultant de la loi du 6 janvier 1978 de l’ensemble des dispositions législatives applicables à la protection des données à caractère personnel, qu’elles soient codifiées ou non.
Ce chapitre modifie les références aux articles de la loi du 6 janvier 1978 qui sont modifiés par l’ordonnance. Il apporte également des modifications sémantiques conformes au droit européen en matière de protection des données à caractère personnel. Ainsi, il remplace les termes de « données personnelles » ou d’« informations nominatives » par ceux de « données à caractère personnel » dans le code du cinéma et de l’image animée (article 2), le code de l’entrée et du séjour des étrangers et du droit d’asile (article 8), le code monétaire et financier (article 11), le code des procédures civiles d’exécution (article 15), le code de la propriété intellectuelle (article 17), le code de la route (article 19), le code rural et de la pêche maritime (article 20), le code de la santé publique (article 21), le code de la sécurité sociale (article 23), le code des transports (article 24) et les dispositions législatives non codifiées (article 27).
Sont également supprimées des dispositions devenues obsolètes, notamment par la suppression de certaines formalités préalables. Ainsi, par exemple, l’article 9 supprime, à l’article L. 581-9 du code de l’environnement, le régime d’autorisation auprès de la CNIL en matière d’installation des dispositifs de publicité lumineuse à l’intérieur des agglomérations lorsque ces dispositifs comportent un système de mesure automatique de l’audience ou d’analyse de la typologie ou du comportement des personnes passant à proximité.
L’article 13 du présent texte modifie le code pénal. Il procède aux coordinations formelles résultant de la renumérotation de la loi du 6 janvier 1978. Les 2° et 3° de cet article mettent également en cohérence avec les modifications opérées par la loi du 20 juin 2018, à la suite des dispositions relatives aux nouvelles obligations européennes imposées au responsable de traitement et au sous-traitant, les dispositions du code pénal relatives à la violation par le responsable de traitement ou par son sous-traitant des règles relatives à la sécurité des traitements, y compris le non-respect des obligations nouvelles de tenue d’un registre des activités de traitement et d’un journal de certaines opérations de traitement, et des règles relatives à la notification des violations de données. Le 6° de cet article opère l’insertion dans le code pénal de l’infraction d’entrave à l’action de la CNIL auparavant prévue par la loi du 6 janvier 1978 précitée.
L’article 16 modifie le code de procédure pénale. Il procède aux coordinations résultant de la consécration par la loi du 20 juin 2018 de l’exercice, par principe, direct du droit d’accès, conformément à la directive, pour les fichiers d’analyse sérielle, ainsi que de la renumérotation de la loi du 6 janvier 1978 précitée.
Enfin, le chapitre III est consacré aux dispositions finales. Son article 29 prévoit notamment une entrée en vigueur de l’ordonnance concomitante à l’entrée en vigueur du décret modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi du 6 janvier 1978, dans sa rédaction résultant de la présente ordonnance, et au plus tard le 1er juin 2019.
Tel est l’objet de la présente ordonnance que nous avons l’honneur de soumettre à votre approbation.
Veuillez agréer, Monsieur le Président, l’assurance de notre profond respect.
