[Brèves] Publication au Journal officiel de la loi relative à la protection des données personnelles

Après sa validation par le Conseil constitutionnel (Cons. const., décision n° 2018-765 DC, du 12 juin 2018 N° Lexbase : A8911XQ4, lire N° Lexbase : N4560BX8), la loi relative à la protection des données personnelles a été publiée au Journal officiel du 21 juin 2018 (loi n° 2018-493 du 20 juin 2018 N° Lexbase : L7645LKD).

Elle a pour objet d’adapter le droit interne au «paquet européen de protection des données» composé du Règlement n° 2016/679 du 27 avril 2016, dit «RGPD» (N° Lexbase : L0189K8I ; sur ce Règlement, lire notre numéro spécial, Lexbase, éd. aff., 2018, n° 553 N° Lexbase : N4163BXH) et de la Directive 2016/680 du 27 avril 2016 (N° Lexbase : L9729K7H).

La loi du 2018 modifie, en conséquence, la loi «Informatique et Libertés» (loi n° 78-17 du 6 janvier 1978 N° Lexbase : L8794AGS).

Après avoir adapté les missions et les pouvoirs de la CNIL dans son titre Ier, le texte, dans son titre II, rassemble les différentes marges de manœuvre permises par le Règlement, à savoir :

- des dispositions relatives à la simplification des formalités préalables à la mise en œuvre des traitements ;

- les obligations incombant aux responsables de traitement et à leurs sous-traitants ;

- des dispositions relatives à certaines catégories particulières de traitements ;

- des dispositions particulières relatives aux droits des personnes concernées ;

- des dispositions sur les voies de recours.

Le titre III de la loi procède ensuite à la transposition de la Directive 2016/680 qui fixe les règles applicables à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale. Les principales innovations de la Directive consistent en la création :

- d’un droit à l’information de la personne concernée par les données personnelles traitées ;
- d’un droit d’accès, de rectification et d’effacement s’exerçant par principe de manière directe, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.

Elle précise également les conditions applicables aux transferts de données à caractère personnel vers les autres Etats membres, vers les Etats tiers et vers des entités privées au sein d’Etats tiers en instaurant un mécanisme à plusieurs niveaux en fonction du degré d’«adéquation» du niveau de protection des données. Elle prévoit enfin que tous les accords incompatibles avec les règles de protection des données doivent être renégociés ou complétés par des protocoles pour assurer la protection des données à caractère personnel.

Enfin, le titre IV contient les dispositions visant à faciliter l’application des règles relatives à la protection des données à caractère personnel par les collectivités territoriales.

Le texte prévoit une entrée en vigueur au 25 mai 2018, date d’entrée en vigueur du «RGPD». Toutefois, les dispositions relatives aux opérations de collecte, de modification, de consultation et de communication des données entrent en vigueur à une date fixée par décret, et au plus tard :

- le 6 mai 2023, lorsqu'une telle obligation exigerait des efforts disproportionnés ;

- le 6 mai 2026, lorsque, à défaut d'un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé.

© Reproduction interdite, sauf autorisation écrite préalable