Nouvelle réglementation relative à la protection des données personnelles

La loi Informatique et Libertés réécrite par l'ordonnance du 12 décembre 2018 afin d'harmoniser la législation applicable à la protection des données personnelles pour garantir la cohérence avec le RGPD entrera en vigueur au plus tard le 1er juin 2019.

L’entrée en application le 25 mai 2018 du règlement 2016/679/UC du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit RGPD, a nécessité l’adaptation de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et libertés, dite « loi Informatique et Libertés » par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. L’article 32 de la loi de 2018 a autorisé le gouvernement à prendre par voie d’ordonnance des mesures nécessaires à la réécriture du dispositif de la loi Informatique et Libertés afin de simplifier la mise en œuvre et assurer la cohérence avec le droit de l’Union européenne et harmoniser ainsi l’état du droit. C’est chose faite avec l’ordonnance du 12 décembre 2018 qui modifie une nouvelle fois la loi Informatique et Libertés, laquelle contient les dispositions communes qui constituent le socle commun à l’ensemble des traitements de données à caractère personnel et entrera en vigueur en même temps que le décret modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi Informatique et Libertés dans sa rédaction résultant de l’ordonnance et au plus tard le 1er juin 2019. L’effort de simplification et d’harmonisation se traduit, notamment, par une redéfinition des notions communes applicables dans le cadre de la protection des données personnelles, la détermination du champ d’application matériel de la loi de 1978 et des principes fondamentaux qui régissent le cadre de cette protection.

Affirmation du droit à l’autodétermination informationnelle et définitions :

 

L’article 1er de la loi Informatique et Libertés rappelle que l’informatique doit être au service de chaque citoyen et pose le principe de l’autodétermination informationnelle, à savoir la maîtrise par l’individu de ses données. La coopération internationale en la matière ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Il est rappelé que la protection des données personnelles est assurée conformément aux dispositions du RGPD et de la loi Informatique et Libertés modifiée (L. n° 78-17, art. 1er, mod. par Ord., art. 1er ; Rapp. au Président de la République).
L’article 2 de la loi de 1978 rappelle les principales définitions de l’ensemble du droit des données à caractère personnel, parmi lesquelles figure celle du fichier de données à caractère personnel. Celui-ci est défini comme tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique (RGPD, art. 4 ; L. n° 78-17, art. 2, mod. par Ord., art. 1er).

Champ d’application matériel et territorial :

 

La loi du 6 janvier 1978 régit les traitements automatisés en tout ou partie des données personnelles, les traitements non automatisés de données personnelles contenues ou appelées à figurer dans des fichiers, lorsque leur responsable remplit les conditions relatives au champ d’application territorial, à l’exception des traitements mis en œuvre par des personnes physiques pour l’exercice d’activités strictement personnelles ou domestiques (L. n° 78-17, art. 2, mod. par Ord., art. 1er).
Par ailleurs, l’article 3 de la loi de 1978 précise le champ d’application territorial en définissant le droit applicable en cas de marges de manœuvres mises en œuvre par le droit national selon le critère de résidence de la personne concernée, sauf en cas de traitements à des fins journalistiques pour lesquelles s’applique le critère de l’établissement (L. n° 78-17, art. 3, mod. par Ord., art. 1er ; Rapp. au Président de la République).
 
Enfin, les dispositions nationales sont harmonisées avec le RGPD qui s’applique :
  • au traitement des données effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union européenne (UE), quel que soit le lieu du traitement ;
  • au traitement des données relatives à des personnes concernées qui se trouvent sur le territoire de l’UE par un responsable du traitement ou un sous-traitant non établi dans l’UE, lorsque les activités de traitement sont liées à l’offre de biens ou de services à ces personnes concernées dans l’UE ou au suivi du comportement de ces personnes, dès lors que celui-ci a lieu au sein de l’Union ;
  • au traitement de données par un responsable du traitement qui n’est pas établi dans l’UE mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public (RGPD, art. 3).

Principes directeurs du traitement des données à caractère personnel :

 

L’article 4 de la loi de 1978 énonce les principes directeurs du traitement des données à caractère personnel (L. n° 78-17, 6 janv. 1978, art. 4, mod. par Ord., art. 6).
Ainsi, les données doivent être :
  • traitées de manière licite et loyale ;
  • collectées pour des finalités déterminées et légitimes et leur exploitation ultérieure doit être compatible avec ces finalités, à l’exception du traitement à des fins archivistiques dans l’intérêt public, ou à des fins de recherche scientifique ou historique ou encore à des fins statistiques, lequel est réputé compatible avec de telles finalités ;
  • adéquates et pertinentes au regard des finalités pour lesquelles elles sont traitées,
  • exactes et actualisées, le cas échéant ;
  • conservées sous une forme permettant l’identification de la personne concernée pour une durée n’excédant pas celle qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, exception faite de celles traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques qui peuvent être conservées au-delà de cette durée ;
  • traitées afin de garantir une sécurité appropriée, y compris contre la perte, la destruction ou les dégâts d’origine accidentelle, l’accès et le traitement non autorisés.
Enfin, la loi Informatique et Libertés précise les conditions de licéité du traitement des données personnelles, notamment au regard du consentement reçu de la personne ou au regard de la nécessité du traitement lorsque celui-ci concerne l’exécution d’un contrat auquel la partie concernée est partie ou a trait au respect d’une obligation légale auquel le responsable du traitement est soumis ou encore lorsqu’il concerne la sauvegarde des intérêts vitaux de la personne concernée (L. art. 5, mod. par Ord., art. 1er).

Nathalie Casal, Juriste consultant en droit des affaires

 Ord. n° 2018-1125, 12 déc. 2018 : JO, 13 déc.

 Rapp. Prés. Rép., NOR : JUSC1829503P : JO, 13 déc.

 Informations commerciales