Ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l’article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel

1 décembre 20185 min

JO du 13 décembre 2018

Pris en application de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, ce texte modifie la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.

Il procède à la réécriture de l’ensemble de la loi du 6 janvier 1978 pour simplifier la mise en œuvre et apporter les corrections formelles nécessaires à la cohérence avec le droit de l’Union européenne relatif à la protection des données à caractère personnel.

Il présente un plan plus lisible, distinguant :

* les dispositions communes, qui constituent le socle commun à l’ensemble des traitements de données à caractère personnel (principes, définitions, champs d’application matériel et territorial de la loi, dispositions relatives à la commission nationale de l’informatique et des libertés (CNIL), formalités préalables, voies de recours spécifiques aux traitements de données à caractère personnel, dispositions pénales) (titre Ier) ;
* les traitements relevant du régime de protection des données à caractère personnel prévu par le règlement (UE) 2016/679 du 27 avril 2016 (règlement RGPD) (y compris les traitements dans le secteur des communications électroniques et les traitements de données à caractère personnel relatives aux personnes décédées) (titre II) ;
* les traitements relevant de la directive (UE) 2016/680 du 27 avril 2016 dont les dispositions ont été transposées par la loi du 20 juin 2018 précitée (titre III) ;
* les traitements intéressant la sûreté de l’État et la défense (titre IV) ;
* les dispositions relatives à l’outre-mer afin de rendre applicable les dispositions de la loi du 6 janvier 1978 en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises (titre V).
Dans ce cadre, il retranscrit d’importantes mesures telles que notamment :
* le principe du droit des personnes à l’autodétermination informationnelle, à savoir la maîtrise par l’individu de ses données (article 1) ;
* les grands principes applicables aux traitements des données à caractère personnel (précisions sur la durée de conservation notamment) (article 4) ;
* les conditions de licéité des traitements (développement autour de la notion de consentement) (article 5) ;
* l’interdiction des traitements de données dites sensibles (article 6) ;
* l’extension des missions de la CNIL (modification des dispositions relatives au traitement des réclamations, plaintes et enquêtes, ainsi qu’aux modalités d’information de la personne concernée afin de les rendre conformes au droit de l’Union européenne, suppression des dispositions relatives à l’intervention de la CNIL sur les règles professionnelles compte tenu des nouvelles prérogatives en matière d’approbation de codes de conduite et de certification) (article 8) ;
* le contrôle de la mise en œuvre des traitements par les responsables de traitement (précisions des conditions dans lesquelles les membres et agents habilités de la CNIL ont accès aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel y compris dans les parties de ces lieux affectés au domicile privé) (article 19) ;
* le principe de coopération entre la CNIL et les autorités de contrôle des Etats membres de l’Union européenne en matière de protection des données (articles 24 à 29) ;
* la suppression de l’obligation pour les responsables de traitement d’informer la CNIL de tout changement affectant un traitement ou de suppression d’un traitement déjà déclaré sauf si le traitement déjà autorisé peut faire l’objet d’une mise à jour rendue publique (articles 33 à 36) ;
* les droits de la personne concernée (délivrance d’une information adaptée en matière de consentement pour les données à caractère personnel collectées auprès d’un mineur de moins de quinze ans, droit d’accès, de rectification et d’effacement pour certaines finalités, droit à la limitation du traitement) (articles 48 à 56) ;
* le principe de responsabilisation des organismes (désignation d’un délégué à la protection des données, réalisation d’une analyse d’impact relative à la protection des données en cas de traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques) (articles 57 à 63).
Cette ordonnance procède, par ailleurs, à la mise en cohérence de l’ensemble des dispositions législatives applicables à la protection des données à caractère personnel (qu’elles soient codifiées ou non) au regard de ces nouvelles modifications. Elle modifie de ce fait les références aux articles de la loi du 6 janvier 1978 qui sont modifiés par l’ordonnance. Elle apporte également des modifications sémantiques conformes au droit européen en matière de protection des données à caractère personnel (remplacement des termes de « données personnelles » ou d’« informations nominatives » par ceux de « données à caractère personnel » dans différents codes tels que le code de la propriété intellectuelle, le code de la route, le code rural et de la pêche maritime, le code de la santé publique et les dispositions législatives non codifiées).

Elle supprime également des dispositions devenues obsolètes, notamment par la suppression de certaines formalités préalables. A ce titre, elle supprime à l’article L. 581-9 du code de l’environnement, le régime d’autorisation auprès de la CNIL en matière d’installation des dispositifs de publicité lumineuse à l’intérieur des agglomérations lorsque ces dispositifs comportent un système de mesure automatique de l’audience ou d’analyse de la typologie ou du comportement des personnes passant à proximité

Ces dispositions entreront en vigueur en même temps que le décret qui modifiera le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction résultant de la présente ordonnance, et, au plus tard le 1er juin 2019.

---

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.

À lire également