Décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

JO du 30 mai 2019

Ce texte poursuit la mise en conformité du droit national avec les dispositions du droit européen en matière de protection des données à caractère personnel, et plus spécifiquement avec les dispositions :

* du règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et ;
* de la directive n°2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.
Il tire les conséquences de forme et de fond de la loi n°78-17 du 6 janvier 1978 dans sa version résultant de l’ordonnance n° 2018-1125 du 12 décembre 2018.

Il clarifie les différents régimes applicables aux traitements de données à caractère personnel en différenciant les dispositions communes à tous les traitements (Titre Ier) et les exigences spécifiques au champ d’application du règlement n°2016/679 du 27 avril 2016 (Titre II), à celui de la directive n°2016/680 du 27 avril 2016 (Titre III) et aux traitements ne relevant pas du champ d’application du droit de l’Union (Titre IV).

Concernant les dispositions communes à tous les traitements, il définit notamment :

* le fonctionnement de la Commission nationale de l’informatique et des libertés (CNIL) (Titre Ier – Chapitre Ier). Il clarifie les modalités d’exercice des missions de la CNIL et apporte des précisions et adaptations nécessaires aux règles de procédure applicables à sa composition et à son fonctionnement ;
* le contrôle de la mise en œuvre des traitements. En particulier, il revient sur l’habilitation des agents des services de la CNIL dans le contrôle de la mise en oeuvre des traitements. Il précise également qu’en cas de contrôle de la mise en œuvre d’un traitement de données à caractère personnel, le secret professionnel peut être opposé aux demandes, copies, recueils, accès et transcriptions de document, renseignements et justifications, programmes informatiques et données. Il rappelle que cette possibilité d’opposer le secret professionnel à ces demandes ne concerne que les trois secrets énumérés à l’article 19 de la loi du 6 janvier 1978 à savoir le secret applicable aux relations entre un avocat et son client, le secret des sources des traitements journalistiques et le secret médical ;
* les formalités préalables à la mise en œuvre des traitements (Titre Ier – chapitre II) (mise en place de modèles de déclaration, de demande d’avis, de consultation et de demande d’autorisation de mise en œuvre de traitements par la CNIL ; procédure des demandes d’avis et d’autorisation).
Concernant les traitements relevant du régime de protection des données à caractère personnel prévue par le règlement n°2016/679, le texte précise notamment les droits de la personne concernée en distinguant les dispositions applicables aux traitements pour lesquels aucune restriction des droits n’est prévue de celles applicables aux traitements pour lesquels les demandes d’exercice d’un droit ne peuvent être effectuées que de manière indirecte par l’intermédiaire de la CNIL (Titre II – Chapitre II). Il précise également les obligations à la charge du responsable du traitement et celles incombant au sous-traitant (Titre II – Chapitre III) (en particulier nomination d’un délégué à la protection des données). Dans ce cadre, il introduit des dispositions particulières pour les traitements de données à caractère personnel dans le domaine de la santé. Il présente notamment la procédure des demandes d’autorisation de ces traitements et précise le rôle que doit jouer le comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES). Il fixe les droits et obligations propres aux traitements dans le secteur des communications électroniques (Titre II – Chapitre IV). Il encadre, par ailleurs, les traitements de données à caractère personnel relatives aux personnes décédées (Titre II – Chapitre V) et précise les règles régissant le transfert de données à caractère personnel vers les Etats n’appartenant pas à l’Union européenne (Titre II – Chapitre VI).

Concernant les traitements régis par la directive n°2016/680 du 27 avril 2016, le texte offre la possibilité de procéder à une analyse d’impact commune à plusieurs traitements similaires relevant de la directive et susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Également, il précise que la CNIL doit fournir un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant si elle considère que le traitement constitue une violation des dispositions des titres Ier et III de la loi du 6 janvier 1978, et non de son seul titre III. Il prévoit, par ailleurs, des exigences spécifiques concernant les obligations à la charge des autorités compétentes et les droits de la personne concernée.

Il prévoit des dispositions applicables aux traitements intéressant la sûreté de l’Etat et de la défense (Titre IV). Ces exigences portent notamment sur l’exercice des droits auprès de la CNIL, l’exercice des droits auprès du responsable du traitement, l’information des personnes concernées et les conditions d’exercice du droit d’opposition, du droit d’accès et du droit de rectification.

Enfin, il aménage des dispositions pour l’outre-mer (Titre V).
​
​Il entre en vigueur le 1er juin 2019 et abroge, à cette même date, le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. 

Tenant compte de ces nouvelles dispositions, il modifie le décret n°2018-232 du 30 mars 2018, le code pénal, le code de l’organisation judiciaire et le code de justice administrative.