Promulgation de la loi sur la protection des données personnelles
25.06.2018
Gestion d'entreprise
Une nouvelle loi Informatique et libertés est parue au Journal Officiel.
La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018. Elle adapte la loi Informatique et libertés du 6 janvier 1978 au paquet européen de protection des données constitué du règlement général sur la protection des données (RGPD), du règlement du 27 avril 2016 directement applicable dans tous les pays européens au 25 mai 2018 ainsi que d’une directive datée du même jour sur les fichiers en matière pénale, dite directive "police".
Missions et pouvoirs de la CNIL, consentement des mineurs, actions de groupe... autant de sujets abordés dans ce nouveau texte que nous commenterons dans les prochains jours afin de vous proposer une analyse approfondie de la loi.
A noter que sont maintenant attendus une dizaine de décrets d'application pris en Conseil d'État après avis de la CNIL, afin de finaliser l'adaptation du droit français à la réglementation européenne en matière de protection des données personnelles.
Par ailleurs, la loi du 20 juin 2018 telle d’adoptée ne devrait avoir qu’une durée de vie limitée. Le Gouvernement est en effet autorisé à prendre, dans un délai de 6 mois suivant la promulgation de la loi, une ordonnance pour procéder à une réécriture de l'ensemble de la loi "Informatique et libertés" afin, notamment, d'améliorer son intelligibilité, de mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données à caractère personnel et d'en prévoir l'application à l'outre-mer.
Le projet de loi de ratification de l’ordonnance qui sera rédigé par le Gouvernement devra à son tour être déposé devant le Parlement dans un délai de 6 mois à compter de la publication de l’ordonnance.
Le 25 mai 2018 est la date d’entrée en vigueur du RGPD, et des principales dispositions de la loi du 20 juin 2018, la directive sur les fichiers de police et de justice devant être transposée depuis le 6 mai 2018.
Toutefois certaines dispositions font l’objet d’une entrée en vigueur plus tardive :
- 6 mai 2023 ou 6 mai 2026. L’obligation de journalisation prévue pour les traitements de données régis par la directive est reportée au 6 mai 2023 lorsqu’une telle obligation de journalisation exigerait des efforts disproportionnés ou au 6 mai 2026 lorsque à défaut d’un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé ;
- 25 mai 2020 pour l’action de groupe en matière de données personnelles à la réparation des préjudices matériels et moraux ;
- rentrée 2018-2019 pour ce qui concerne les dispositions relatives à la transparence des traitements de données scolaires, afin de laisser le temps aux établissements publics concernés de se mettre en conformité avec cette nouvelle obligation ;
- 1er juillet 2020 pour l'entrée en vigueur de la nullité de plein droit des décisions administratives individuelles prises sur le fondement d’un algorithme.
Nous reviendrons sur ces points dans des commentaires ultérieurs.