Données personnelles : apports de l'ordonnance 2018-1125 portant réécriture de la Loi Informatique et Libertés
Newsletter – 20 décembre 2018
Données personnelles : apports de l’ordonnance n° 2018-1125 du 12 décembre 2018 portant modification de la Loi Informatique et Libertés
L’ordonnance n° 2018-1125 du 12 décembre 2018, publiée le 13 décembre 2018, achève la mise en conformité du droit national relatif aux données personnelles avec le Règlement général sur la protection des données (RGPD) et la directive dite « police-justice » applicable aux fichiers de la sphère pénale.
1. Contexte
Pour rappel, suite à l’entrée en application du Règlement Général sur la Protection des Données (le 25 mai 2018) – "RGPD", la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) avait été modifiée en grande partie par une loi du 20 juin 2018 (loi n° 2018-493). L’objectif était d’assurer une mise en conformité du droit français avec les nouvelles exigences du RGPD.
L’ordonnance n° 2018-1125 vise à achever, au niveau législatif, le travail de mise en conformité du droit français (la Loi Informatique et Libertés, mais également certaines dispositions relatives à la protection des données personnelles présentes dans d’autres textes ou codes) au RGPD (ainsi qu’à la directive (UE) 2016/680 dite « police-justice » applicable aux fichiers de la sphère pénale.)
A noter l’avis rendu sur le projet d’ordonnance par la CNIL, le 15 novembre 2018, disponible ici.
L’ordonnance n’est pas encore applicable. Elle doit entrer en vigueur concomitamment au futur décret amené à modifier le décret n° 2005-1309 du 20 octobre 2005, et au plus tard le 1er juin 2019. Dans l’attente, les dispositions actuelles de la Loi Informatique et Libertés, dans sa version modifiée par la loi du 20 juin 2018, restent seules applicables.
Par ailleurs, un projet de loi de ratification de l’ordonnance devra être déposé dans les 6 mois à compter de la publication de l’ordonnance.
2. Principaux apports
La loi du 20 juin 2018 avait déjà modifié en profondeur le droit français, et en particulier la Loi Informatique et Libertés. Par cette loi, les grands apports du RGPD (renforcement des droits des personnes physiques sur leurs données personnelles, simplification des obligations via notamment la suppression d’un certain nombre de formalités préalables, pouvoirs de contrôle et de sanction des autorités de contrôle renforcés) avaient déjà été reportés dans la Loi Informatique et Libertés et rendus applicables concomitamment à l’entrée en application du RGPD, lui-même d’application directe.
L’apport de l’ordonnance porte donc plus sur la forme que sur le fond : corrections formelles et adaptations nécessaires pour une meilleure articulation des textes (notamment, droit national et RGPD) et une meilleure lisibilité.
L’un des apports de l’ordonnance est ainsi de permettre une meilleure compréhension de la Loi Informatique et Libertés : la nouvelle architecture de la loi tend à améliorer la lisibilité des différents régimes applicables en fonction de la nature des traitements concernés (dispositions communes à tous les traitements (Titre Ier), exigences spécifiques au champ du RGPD (Titre II) ou à celui de la directive « police-justice (Titre III), etc.). L’objectif affiché n’a cependant pas totalement été atteint. Le système des renvois, parfois en chaîne, utilisé dans l’ordonnance rend certains articles de la Loi Informatique et Libertés difficilement compréhensibles, ce qu’avait déjà souligné la CNIL dans son avis : c’est particulièrement le cas de certaines dispositions relatives aux données de santé, tel que l’article 65 de la loi issue de l’ordonnance.
L’ordonnance apporte par ailleurs des précisions sur certains points, tels que la désignation du délégué à la protection des données, ou le droit à la portabilité des données.
Enfin, l’ordonnance adapte et étend certaines dispositions à l’Outre-Mer.
En dépit de cet effort de mise en cohérence et simplification, nous pouvons regretter la complexité et le manque de lisibilité qui persisteront pour certains articles de la Loi Informatique et Libertés. De quoi continuer à alimenter le flot de questions généré par l’arrivée des nouvelles exigences du RGPD.