Entrée en vigueur de la nouvelle loi Informatique et Libertés et de son décret d’application
La loi Informatique et Libertés et son décret d’application ont été modifiés afin de mettre en conformité le droit national avec le cadre juridique européen. Ces textes permettent la mise en œuvre concrète du Règlement général sur la protection des données (RGPD) et de la Directive « police-justice », applicable aux fichiers de la sphère pénale. La lisibilité du cadre juridique national sera améliorée par une ordonnance qui sera prise dans un délai de six mois.
La nouvelle loi Informatique et Libertés permet l’application effective des textes européens, qui représentent un progrès majeur pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques.
Elle dote notamment la CNIL des pouvoirs nécessaires à l’exercice de ses missions, dans un contexte marqué par la reconnaissance de nouveaux droits aux citoyens et le renforcement de la responsabilité des opérateurs.
Elle organise l’articulation nécessaire des procédures internes de la CNIL aux nouveaux mécanismes de coopération européenne.
Elle exerce certaines des « marges de manœuvre nationales » autorisées par le RGPD, transpose en droit français la Directive « police-justice » et modifie certaines de ses dispositions pour les rapprocher de la lettre du RGPD.
La bonne compréhension du cadre juridique suppose de combiner désormais les deux niveaux, européen et national. Le RGPD s’applique directement en droit français : il remplace sur de nombreux points (droits des personnes, bases légales des traitements, mesures de sécurité à mettre en œuvre, transferts, etc.) la loi nationale. Sur d’autres points (les « marges de manœuvre nationales »), la loi Informatique et Libertés reste en vigueur et vient compléter le RGPD : il s’agit par exemple du traitement des données de santé ou des données d’infraction, de la fixation à 15 ans du seuil d’âge du consentement des mineurs aux services en ligne, des dispositions relatives à la mort numérique, etc. Enfin, la loi nationale reste pleinement applicable pour tous les fichiers « répressifs », qu’il s’agisse de la sphère pénale ou du domaine du renseignement et de la sûreté de l’Etat. De nombreuses dispositions spéciales sont prévues en ces matières.
Une ordonnance de réécriture complète de la loi Informatique et Libertés est prévue, dans un délai de six mois, notamment afin de résoudre ces difficultés de lisibilité de ce cadre juridique composite. Dans l’attente, il convient de prêter une attention particulière au cadre juridique applicable à chaque traitement.
Le droit national a également été complété par un nouveau décret d’application de la loi Informatique et Libertés, qui achève la mise en conformité du droit national au cadre juridique européen. Ce décret, sur lequel la CNIL a rendu un avis le 21 juin 2018, a été publié le 3 août 2018. Il fixe plus précisément les délais et procédures applicables aux différentes missions de la CNIL et précise certaines dispositions de la loi.