Décret n° 2018-687 du 1er août 2018 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

JO du 3 août 2018

Pris en application de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, ce texte modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, afin de le mettre en conformité avec le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

Les dispositions concernent notamment :

* les modalités d’élaboration ou d’approbation par la Commission nationale de l’informatique et des libertés (CNIL) des critères des référentiels de certification et d’agrément ;
* les modalités de délivrance des certifications et des agréments des organismes de certification par la CNIL ou l’organisme national d’accréditation aux fins de reconnaître qu’ils se conforment au RGPD ;
* les modalités de désignation des délégués à la protection des données (remplaçant les correspondants informatique et libertés) et d’information de la CNIL quant à leur désignation ;
* les conditions dans lesquelles les membres et agents de la CNIL amenés à réaliser des opérations en ligne nécessaires à leur mission sous une identité d’emprunt procèdent à leurs constations ;
* la liste des catégories de personnes morales de droit privé collaborant au service public de la justice autorisées à mettre en œuvre des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ;
* la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du RGPD lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

Par ailleurs, le texte transpose la directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.

Il précise notamment le contenu de l’analyse d’impact effectuée préalablement à la mise en œuvre d’un traitement, le contenu du contrat ou de l’acte juridique liant le sous-traitant à l’égard du responsable du traitement ainsi que les règles applicables aux responsables conjoints du traitement.

Il comporte des dispositions de coordination modifiant le code pénal, le code de procédure pénale et le code de justice administrative