Les modifications apportées par l’ordonnance n° 2018-1125 du 12 décembre 2018 à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Suite à l’entrée en application du Règlement Général sur la Protection des Données, le 25 mai 2018, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés avait été modifiée en grande partie par la loi n° 2018-493 du 20 juin 2018. L’objectif était d’assurer une mise en conformité du droit français avec les nouvelles exigences du RGPD.

L’ordonnance n° 2018-1125 du 12 décembre 2018 a achevé de mettre en conformité la loi n° 78-17 du 6 janvier 1978 Informatique et Libertés par rapport au RGPD ainsi que toute législation applicable en matière de données à caractère personnel.

L’ordonnance n’est pas encore applicable ; celle-ci doit entrer en vigueur au plus tard le 1er juin 2019.

Dans l’attente, les dispositions actuelles de la Loi Informatique et Libertés, dans sa version modifiée par la loi n°2018-493 du 20 juin 2018, restent seules applicables.

Pour l’essentiel, cette ordonnance restructure et renumérote la loi Informatique et libertés 78-17 du 6 janvier 1978 telle que modifiée par la loi du 20 juin 2018 sans y apporter de profonds changements sur le fond  ; vous trouverez ci-après une synthèse des modifications apportées par ladite ordonnance :

1 – Aucun article de la loi Informatique et libertés ne subsiste dans sa rédaction antérieure

Tous subissent au minimum une renumérotation. L’innovation la plus visible consiste en une réorganisation de la loi en cinq titres. Cette réorganisation permet une meilleure compréhension de la portée respective de dispositions qui étaient jusqu’ici mélangées.

2 – Les termes sont modifiés pour être conformes au droit européen

Le chapitre II de l’ordonnance apporte des modifications sémantiques conformes au droit européen en matière de protection des données à caractère personnel.

Ainsi, il remplace les termes de « données personnelles » ou d’« informations nominatives » par ceux de « données à caractère personnel » dans le Code du cinéma et de l’image animée (article 2), le Code de l’entrée et du séjour des étrangers et du droit d’asile (article 8), le Code monétaire et financier (article 11), le Code des procédures civiles d’exécution (article 15), le Code de la propriété intellectuelle (article 17), le Code de la route (article 19), le Code rural et de la pêche maritime (article 20), le Code de la santé publique (article 21), le Code de la sécurité sociale (article 23), le Code des transports (article 24) et les dispositions législatives non codifiées (article 27).

3 – L’étendue de l’interdiction de traitement des données sensibles est légèrement remaniée

Le principe d’interdiction de traitement des données sensibles sous réserve de certaines dérogations est rappelé par l’article 6 de la loi du 6 janvier 1978 modifiée par l’ordonnance.

Ce principe concerne les données qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique, les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Est maintenue la dérogation à ce principe, prévue en faveur des traitements conformes à des règlements types établis par la Cnil et mis en œuvre par les employeurs, et portant sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux stagiaires ou aux prestataires (Loi 6-1-1978 modifiée art. 44, 4°).

Sont, en revanche, supprimées les dispositions mettant hors du champ d’application de l’interdiction les données appelées à faire l’objet à bref délai d’un procédé d’anonymisation, une telle dérogation n’étant pas prévue par le RGPD (Loi 6-1-1978 modifiée art. 6).

4 – Les articles relatifs aux nouveaux droits posés par le RGPD sont ajoutés

La loi n° 78-17 du 6 janvier 1978, dans sa version modifiée par la loi n° 2018-493 du 20 juin 2018, n’était pas complète ; elle ne mentionnait pas certains droits prévus par le règlement européen. L’ordonnance y a remédié ; elle a ajouté :

  • le droit à la portabilité des données (article 55)
  • les nouvelles modalités du droit à l’information (article 48)

Nota Bene : l’ordonnance a remanié certains autres articles pour correspondre aux stipulations du règlement européen : notamment celui de l’obligation de tenir un registre des activités de traitement (article 57 de l’ordonnance), celui de l’obligation de désigner un délégué à la protection des données (article 57 de l’ordonnance), celui de l’obligation de procéder à une analyse d’impact des données sous certaines conditions (article 62 de l’ordonnance)

5 – La possibilité de mandater des associations pour exercer ses droits au recours est élargie

L’article 38 de la loi du 6 janvier 1978 modifiée par l’ordonnance prévoit que toute personne peut mandater une association ou une organisation en cas de méconnaissance d’un droit ou d’une liberté dans le cadre d’un traitement de données à caractère personnel pour introduire, en son nom, une réclamation auprès de la Cnil, un recours juridictionnel contre cette dernière ou contre un responsable de traitement ou pour exercer une action en réparation.

Peuvent désormais être mandatés, non seulement les organismes ou associations qui peuvent exercer une action de groupe, mais également une association ou une organisation dont l’objet statutaire est en relation avec la protection des droits et libertés lorsque ceux-ci sont méconnus dans un traitement de données, ou une association dont la personne est membre et dont l’objet statutaire implique la défense d’intérêts en relation avec les finalités du traitement litigieux.

Avant l’intervention de l’ordonnance, seuls les organismes ou associations pouvant exercer une action de groupe pouvaient être mandatés ( associations régulièrement déclarées depuis 5 ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel, associations de consommateurs représentatives au niveau national et agréées, organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l’ordre judiciaire).

6- Le traitement des réclamations par la CNIL est redéfini

Les modifications apportées sur ce point à la loi du 6 janvier 1978 visent à prendre en compte, d’une part, l’existence d’actions de groupe et, d’autre part, l’européanisation des procédures de contrôle.

Ainsi, aux termes de l’article 8 de la loi du 6 janvier 1978 modifiée par l’ordonnance, la CNIL traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire.

7 – L’accès des agents de contrôle de la CNIL aux lieux des traitements est étendu

Jusqu’ici les agents de contrôle de la CNIL pouvaient réaliser des contrôles sur place dans tous les locaux servant à la mise en œuvre d’un traitement de données à caractère personnel, y compris ceux qui ne sont pas affectés à un usage professionnel, mais à l’exclusion des parties de ceux-ci affectées au domicile privé.

L’article 19 prévoit que les membres et agents habilités de la CNIL peuvent désormais effectuer des visites dans des lieux, locaux, enceintes, installations ou établissements partiellement ou entièrement affectés au domicile privé.

La visite ne peut toutefois se dérouler, en ce cas, qu’après l’autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter.

8 – L’adaptation et l’extension aux TOM ainsi que l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la loi du 6 janvier 1978 relevant de la compétence de l’État est prévue.

Il s’agit notamment de pallier le fait que le RGPD ne s’applique pas aux territoires qui ne font pas partie de l’Union européenne. Ses dispositions assurent donc l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la loi du 6 janvier 1978.

Nasera CHEMAM