Publication de l’ordonnance de réécriture de la loi Informatique et Libertés

19 décembre 2018

L’ordonnance n° 2018-1125 du 12 décembre 2018, publiée le 13 décembre 2018, achève, au niveau législatif, la mise en conformité du droit national avec le Règlement général sur la protection des données (RGPD) et la Directive « police-justice », applicable aux fichiers de la sphère pénale. Cette ordonnance améliore la lisibilité du cadre juridique en matière de protection des données. La CNIL a rendu le 15 novembre 2018 un avis sur ce texte.  

L’adaptation du droit français au nouveau cadre européen a été principalement réalisée par la loi du 20 juin 2018, sur laquelle la CNIL s’est prononcée dans son avis en date du 30 novembre 2017. Cette loi a substantiellement modifié la loi Informatique et Libertés et a notamment fait usage de certaines des marges de manœuvre ouvertes aux Etats membres par le RGPD.

Une ordonnance devait ensuite intervenir pour réécrire et remettre en cohérence la loi du 6 janvier 1978 et d’autres lois françaises traitant de protection des données. Dans son avis du 15 novembre 2018 sur le projet d’ordonnance, la CNIL a estimé que ce texte atteignait pour l’essentiel ses objectifs :

  • il permet l’application de règles homogènes sur le territoire métropolitain et dans l’ensemble des collectivités d’outre-mer en matière de protection des données personnelles ;
  • il modifie plusieurs dispositions extérieures à la loi du 6 janvier 1978, qui améliorent l’articulation globale de la législation applicable en matière de protection des données ;
  • surtout, il améliore la lisibilité de la loi Informatique et Libertés, en précisant les différents régimes applicables en fonction de la nature des traitements concernés : traitements relevant du RGPD, traitements « police justice », traitements concourant à la défense nationale ou la sûreté de l’Etat, etc.

Dans son avis, la CNIL a insisté cependant sur la nécessité de clarifier au maximum les obligations imposées aux organismes traitant des données à caractère personnel, et notamment à des petites et moyennes entreprises ou à des organismes publics de taille modeste. Elle a également émis des observations plus techniques, afin de clarifier ou préciser les conditions de l’action collective ou les modalités d’utilisation des données personnelles à des fins de recherche en santé. Plusieurs de ces observations ont été prises en compte par le Gouvernement dans l’ordonnance promulguée.

Cette ordonnance entrera en vigueur au plus tard en juin 2019, en même temps que le nouveau décret d’application de la loi Informatique et Libertés. Dans l’attente, les dispositions actuelles de la loi Informatique et Libertés, dans sa version modifiée par la loi du 20 juin 2018, restent seules applicables.

Enfin, la CNIL rappelle que l’entrée en application du cadre juridique européen impose une réflexion de fond sur certaines législations sectorielles touchant à la protection des données personnelles, par exemple en matière de vidéoprotection