Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

JO du 21 juin 2018

Ce texte modifie la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin de la mettre en conformité avec les dispositions :

* du règlement 2016/679 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD ») ;
* de la directive 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.

En premier lieu, il fixe les dispositions d’adaptation communes au règlement et à la directive en ce qui concerne notamment :

* la modification des modalités d’intervention des agents et membres de la CNIL dans la mise en œuvre des traitements (contrôles sur place, communication de tous documents, utilisation d’une identité d’emprunt lors des contrôles en ligne, sanctions…) ;
* l’extension des missions de la CNIL, amenée en particulier à :
* publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ;
* publier des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ;
* certifier des personnes, produits, systèmes de données ou procédures aux fins de reconnaître leur conformité au RGPD ;
* établir une liste des traitements susceptibles de créer un risque élevé et soumis à consultation préalable ;
* procéder à des opérations de contrôle conjointes avec les autres autorités nationales.

Il précise les marges de manœuvre permises par le RGPD, à savoir :

* la simplification des formalités préalables à la mise en œuvre des traitements de données à caractère personnel ;
* les conditions dans lesquelles le législateur autorise les traitements de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ;
* la possibilité d’appliquer la loi nationale dès lors que la personne réside en France, y compris lorsque le responsable de traitement n’y est pas établi, en cas de divergences de législations entre États membres de l’Union européenne ;
* pour les traitements contenant des données concernant la santé des personnes justifiés par une finalité d’intérêt public, la possibilité pour la CNIL d’établir des référentiels, règlements types et méthodologies de référence ;
* les droits des personnes, notamment les mineurs ;
* les voies de recours.

Il fixe des dispositions spécifiques aux traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.

Il habilite le Gouvernement à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires pour :

* réécrire l’intégralité de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans un but de simplification ;
* mettre en cohérence avec le RGPD et la directive les autres dispositions législatives relatives à la protection des données à caractère personnel.

Il précise les modalités d’entrée en vigueur de ces dispositions (selon les cas : 25 mai 2018, 22 juin 2018, 1er juillet 2020, 6 mai 2023, 6 mai 2026).