Comme la loi du 20 juin 2018 modifiant la loi Informatique et Libertés l’avait prévu(1), celle-ci a été entièrement réécrite dans un court délai pour une meilleure clarté et une simplicité de mise en œuvre.
Ainsi, l’ordonnance du 12 décembre 2018(2) vient modifier et réorganiser la loi Informatique et Libertés, suite à l’entrée en application du RGPD (règlement général européen sur la protection des données) le 25 mai dernier.
La loi s’ouvre sur le principe d’autodétermination informationnelle, réaffirmé à l’article 1er. Ce sont ensuite le champ d’application et les définitions. Puis les principes fondateurs du RGPD sur la collecte et le traitement des données personnelles, article 4, la licéité des traitements, article 5, et l’interdiction de collecter les données sensibles, article 6.
Le chapitre suivant est entièrement dévolu à la composition, aux missions, et aux compétences de la CNIL, ainsi qu’à la coopération avec les autres autorités de contrôle. Les sanctions qu’elle peut attribuer, article 20, dont les amendes administratives pouvant s’élever jusqu’à 4% du chiffre d’affaires total annuel mondial ou 20 millions d’euros.
Les formalités préalables subsistent pour « les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat et qui intéressent 1° la sureté de l’Etat, la défense ou la sécurité publique ; 2° ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté » article 31.
Les modalités de l’action de groupe sont détaillées aux articles 37 à 39, telles que prévues par le RGPD, afin de faire cesser un manquement ou « d’obtenir la réparation des préjudices matériels et moraux subis », pour un fait postérieur au 24 mai 2018.
L’âge du consentement valable et éclairé du mineur est fixé à 15 ans dans le cadre de l’offre directe de services de la société de l’information, par l’article 45.
Les droits de la personne concernée sont prévus aux articles 48 à 56, par un renvoi direct au RGPD. Néanmoins, « le droit à l’information ne s’applique pas aux données collectées […] et utilisées lors d’un traitement mis en œuvre pour le compte de l’Etat et intéressant la sécurité publique […] [et] lorsque le traitement est mis en œuvre par les administrations publiques qui ont pour mission soit de contrôler ou de recouvrer des impositions soit d’effectuer des contrôles de l’activité de personnes physiques ou morales ». De plus, pour les droits d’accès, de rectification et d’effacement pour les traitements en matière d’imposition, de mission de service public ou pour les traitements intéressant la sécurité publique, les demandes d’exercice s’exercent auprès de la CNIL et non pas auprès du responsable de traitement.
Les obligations incombant au responsable du traitement et au sous-traitant sont rassemblées au sein d’un chapitre complet, aux articles 57 et suivants. Où se retrouvent notamment, l’obligation de veiller à la sécurité et à l’intégrité des données, la tenue du registre des traitements, la désignation d’un délégué à la protection des données (DPO), la notification de toute violation de données, la contractualisation avec les sous-traitants, et la réalisation d’une analyse d’impact.
Concernant les traitements de données de santé, la loi Informatique et Libertés ajoute la possibilité de communiquer les données concernées par une demande d’exercice d’un droit d’accès à un médecin désigné par la personne qui en fait la demande, article 64.
Les articles 78 et 79 concernent les traitements de données à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques. Et l’article 80 concerne les traitements de données aux fins de journalisme et d’expression littéraire et artistique.
Une nouveauté a été insérée aux articles 81 à 83, pour les traitements « mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public », avec des obligations spécifiques incombant aux fournisseurs de services de communications électroniques.
La mort numérique, créée par la loi pour une République Numérique(3) a été pleinement intégrée aux articles 84 et suivants. Ainsi, les droits de la personne concernée s’éteignent au décès de celle-ci, néanmoins, « toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès », celles-ci peuvent être enregistrées notamment auprès de tiers de confiance numérique.
La loi Informatique et Libertés intègre également, aux articles 87 et suivants, la directive(4) relative aux traitements de données personnelles mis en œuvre par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, ainsi que les dispositions applicables aux traitements intéressant la sureté de l’Etat et la défense aux articles 115 et suivants.
(1) Loi 78-17 du 6 janvier 1978, article 32